[250219] Json Web Token에 대하여,,,

JWT (JSON Web Token)이란?

1. JWT 정의

JWT(JSON Web Token)는 JSON 객체를 사용하여 정보를 안전하게 전달하기 위한 토큰 기반 인증 방식이다.
클라이언트와 서버 간 인증 및 정보 교환을 위해 사용되며, 디지털 서명이 포함되어 있어 무결성이 보장된다.

💡 JWT의 특징
✔️ 무상태(Stateless) 인증
 → 서버가 세션을 저장할 필요 없음
✔️ 토큰 기반 인증
 → 사용자 로그인 후 JWT를 이용하여 인증
✔️ 디지털 서명 포함
 → 토큰 변조 방지
✔️ 다양한 환경에서 사용 가능
 → 웹, 모바일, API 등

---

2. JWT의 구조

JWT는 점(`.`)으로 구분된 3개의 부분으로 구성된다.

Header.Payload.Signature

• 예제 JWT:

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX2lkIjoxMjMsInJvbGUiOiJhZG1pbiJ9.jY3s5yOZ8YhQ12qG2WJlq8P4hHDcvb2XkJzzJgiOS78

1️⃣ Header (헤더)

JWT의 타입과 서명 알고리즘 정보를 포함한다.

# json
{
  "alg": "HS256",  # 서명 알고리즘 (예: HS256, RS256)
  "typ": "JWT"      # 토큰 유형
}

2️⃣ Payload (페이로드)

사용자 정보(클레임, Claims)가 들어가는 부분

# json
{
  "user_id": 123,
  "role": "admin",
  "exp": 1712345678  # 토큰 만료 시간 (Unix timestamp)
}

3️⃣ Signature (서명)

서버의 비밀 키(secret key)를 이용하여 서명된 값 → 토큰 변조 방지 역할

HMACSHA256(
  base64UrlEncode(header) + "." + base64UrlEncode(payload),
  secret_key
)

---

3. JWT의 동작 방식

1️⃣ 사용자가 로그인 요청

• 클라이언트가 `username`, `password`를 입력하여 서버에 로그인 요청

2️⃣ 서버가 JWT 생성 및 반환

• 사용자의 인증이 완료되면, 서버는 `JWT`를 생성하고 클라이언트에 반환

3️⃣ 클라이언트는 JWT를 저장

• JWT를 `LocalStorage`, `SessionStorage`, `쿠키` 등에 저장

4️⃣ 인증이 필요한 요청 시 JWT 포함하여 전송

• 클라이언트는 요청 헤더에 JWT를 포함하여 API 호출

Authorization: Bearer <JWT_TOKEN>

5️⃣ 서버는 JWT 검증 후 요청 처리

• 서버는 JWT의 서명을 확인하여 변조 여부 검증
• 유효한 토큰이면 요청을 정상 처리

---

4. JWT 활용 예제 (Django + PyJWT)

Django에서 JWT를 생성하고 검증하는 기본적인 예제

1️⃣ JWT 생성 (로그인 시)

import jwt
import datetime

SECRET_KEY = "mysecretkey"  # 보안 키

def create_jwt(user_id):
    payload = {
        "user_id": user_id,
        "exp": datetime.datetime.utcnow() + datetime.timedelta(hours=1),  # 1시간 유효
        "iat": datetime.datetime.utcnow()  # 발급 시간
    }
    token = jwt.encode(payload, SECRET_KEY, algorithm="HS256")
    return token

• `user_id`: 사용자 ID 포함
• `exp`: 토큰 만료 시간 설정
• `iat`: 토큰 발급 시간

2️⃣ JWT 검증 (요청 시)

def verify_jwt(token):
    try:
        payload = jwt.decode(token, SECRET_KEY, algorithms=["HS256"])
        return payload  # 사용자 정보 반환
    except jwt.ExpiredSignatureError:
        return "토큰이 만료되었습니다."
    except jwt.InvalidTokenError:
        return "유효하지 않은 토큰입니다."

• `jwt.decode()`를 사용하여 토큰 해독
• 서명이 유효하면 사용자 정보 반환
• 토큰이 만료되었거나 변조된 경우 예외 처리

---

5. JWT의 장점과 단점

장점	단점
서버가 세션을 저장할 필요 없음	토큰 크기가 커질 수 있음
분산 환경에서 인증이 용이	토큰이 탈취되면 보안 문제 발생 가능
서명을 이용한 변조 방지	토큰 강제 로그아웃이 어려움
유효기간 설정 가능	자체적으로 토큰 무효화 기능 없음

---

6. JWT vs 세션 기반 인증

비교 항목	JWT (토큰 기반)	세션 기반 인증
상태 관리	서버가 세션을 저장하지 않음	서버가 세션을 저장
확장성	수평 확장이 용이	확장성이 낮음
인증 방식	HTTP 헤더에 토큰 포함	쿠키를 이용
보안	토큰 탈취 시 위험	세션 관리 필요
무효화	별도 로직 필요 (Blacklist)	세션 삭제 가능

JWT 정리:
1️⃣ JWT는 토큰 기반 인증 방식으로, 세션을 저장하지 않아 서버 확장성이 뛰어나다~
2️⃣ 3개의 구조(Header, Payload, Signature)로 구성되며, 서명을 통해 변조를 방지한다~
3️⃣ Django에서는 PyJWT를 사용하여 JWT를 생성하고 검증 가능하다~
4️⃣ 토큰 탈취 및 보안 문제를 고려하여 적절한 보안 조치 필요하다~