[Spring Security] JWT란?JWT 구조, 리프레시 토큰 발급 과정

JWT란?

 

JWT = Json Web Token

토큰 형식 중에 하나임!

​

json 데이터를 안전하게 주고받기 위한 토큰 포맷

​

구성(담고있는 정보)은

header + payload + signature

​

​

왜 JWT 형식을 많이 쓸까?

- 서버가 상태 기억할 필요가 없고

- 토큰 안에 필요한 정보 담을 수 있고

- 구조 단순하고, 다양한 언어/플랫폼에서 사용 가능

 

 

---

 

발급받은 JWT를 써서 인증 하려면,

HTTP 요청 헤더 중 Authorization 키 값에

Bearer + JWT 토큰값 넣어서 보내야됨.

​

 

Authorization : Bearer ey~~~~

 

---

JWT 구조는?

 

.을 기준으로

헤더 (header), 내용(payload), 서명(signature)로 구성

 

aaaaa.bbbbbb.ccccc   // (a=헤더, b=내용, c=서명)

 

 

 

---

1. 헤더 (header)

 

먼저 헤더에는

토큰의 타입 + 해싱 알고리즘 지정하는 정보가 담김

 

 

 

 

2. 내용(payload)

 

내용에는

토큰과 관련된 정보가 담김

내용의 한 덩어리 = 클레임(claim)

​

클레임은 키-값 한쌍으로 되어있음

​

종류는

- 등록된 클레임

- 공개 클레임

- 비공개 클레임

​

​

✅등록된 클레임✅

토큰에 대한 정보를 담는데 사용함

(발급자, 제목, 대상자, 만료시간, 활성 날짜, 발급시간, JWT 고유 식별자..)

​

✅공개 클레임✅

공개되어도 상관없는 클레임

충돌 방지할 수 있는 이름 가져야함 (unique)

보통 이름 URI로 지음

​

✅비공개 클레임✅

공개되면 안되는 클레임

클라이언트 ⬅️➡️서버 간 통신에 사용됨

 

 

 

3. 서명(signature)

해당 토큰이 조작되었거나 변경되지 않았음을 확인하는 용도

헤더의 인코딩값, 내용의 인코딩값 합친 다음에

주어진 비밀커 써서 해시값 생성함

 

 

---

토큰의 유효기간

 

클라이언트 - 서버 통신시 인증이 필요한 API라면

토큰을 통해서 인증 한다고 했음.

​

근데 만약에, 토큰 주고받는 환경이 취약해서

토큰 자체가 노출되면?

​

서버는 토큰과 함께 온 요청이,

토큰 탈취한 나쁜 사람이 보낸 요청인지 알 수가 없음

​

--> 리프레시 토큰이 있다면?

​

 

 

 

리프레시 토큰

 

토큰 유효기간이 하루라고 해보자.

그럼 하루종일 해당 토큰으로 뭐든 할 수 있음. 위험!

--> 그럼 토큰 유효시간이 짧으면 되겠네?

---> 그러면 사용자 입장에서 불편함.

​

----> 리프레시 토큰이라는게 있으면 되겠군!

​

​

리프레시 토큰은, 액세스 토큰이랑은 별개임.

인증을 위한 용도가 아니라, 액세스 토큰이 만료됐을 때

new 액세스 토큰 발급 받아야 하는데, 이때 쓰는거임.

​

엑세스 토큰 자체의 유효기간은 짧게하고

리프레시 토큰 유효기간 길게하면

공격자가 액세스 토큰 탈취해도

몇분뒤면 못쓰니까 안전.

 

 

 

 

[리프레시 토큰 발급 과정]

​

1. 클라이언트 -> 서버 : 인증 요청

2. 서버 -> 클라이언트 : 액세스 토큰 & 리프레시 토큰 응답

3. 서버 -> DB : 리프레시 토큰은 저장

4. 클라이언트 -> 서버 :API 요청

5. 서버 : 토큰 유효성 검사 하고 응답

~~ 시간이 흐르고 ~~

6. 클라이언트 -> 서버 : (만료된 토큰으로) API 요청

7. 서버 -> 클라이언트 : 토큰 만료됐다고 응답

8. 클라이언트 -> 서버 : (리프레시 토큰과 함꼐) 액세스 토큰 발급 요청

9. 서버 -> DB : 리프레시 토큰 조회 & 유효성 검사

10. 서버 -> 클라 : 만족하면, new 액세스 토큰으로 응답

11. 클라 -> 서버 : new 액세스 토큰으로 다시 요청...(4번부터 반복)