[TECH-QA] JWT(JSON Web Token) 인증 방식

Posted 4 months Updated 4 months

By 베짱이가 되고싶은 개미。

JWT(JSON Web Token)는 웹에서 사용자 인증을 위해 널리 사용되는 토큰 기반 인증 방식입니다. JWT는 세 가지 주요 부분으로 구성되며, 각 부분은 점(.)으로 구분됩니다

Header(헤더)
Payload(페이로드)
Signature(서명)

이를 Base64 URL 인코딩 방식으로 직렬화하여 헤더 . 페이로드 . 서명 형태의 문자열로 표현됩니다.

Header

토큰의 유형(보통 "JWT")
서명에 사용된 알고리즘을 정의(예: HMAC SHA256, RSA 등)

{
  "alg": "HS256",
  "typ": "JWT"
}

Payload

사용자 인증에 필요한 정보(클레임, Claims)를 포함합니다. 여기에는 사용자 ID, 권한, 발급 시간(iat), 만료 시간(exp) 등 표준 클레임과 함께 개발자가 추가한 커스텀 클레임이 들어갈 수 있습니다.

{
  "sub": "user123",
  "name": "John Doe",
  "iat": 1712016000,
  "exp": 1712023200
}

Signature

Header와 Payload를 조합한 후 서버의 비밀 키(secret key)를 사용해 서명한 값입니다. 이 서명은 토큰의 무결성을 보장하며, 클라이언트가 토큰을 위조하거나 변조했는지 확인하는 데 사용됩니다. 서명 생성 과정은 다음과 같습니다

HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)

서버의 비밀 키
- 서버의 비밀 키(secret key)는 서버 애플리케이션이 설계되고 배포되는 단계에서 생성되거나 설정됩니다.
- JWT를 생성하고 검증하기 위해 서버 측에서 미리 설정되고 관리되는 고정된 값입니다.
- 이 키는 JWT의 Signature 부분을 생성하고, 나중에 토큰의 유효성을 검증할 때 사용됩니다.

장점

상태 비저장(Stateless): 사용자 인증정보를 서버나 세션스토리지에 유지할 필요가 없어 확장성이 뛰어나고, 분산 시스템에서 유리합니다.
단일 토큰으로 인증 : 사용자 인증에 필요한 정보를 토큰 자체에 담고 있어 클라이언트 측에서 들어오는 요청만으로 유효성 검사를 합니다. API 호출 시마다 헤더(Authorization: Bearer )에 포함시켜 간단히 인증을 처리할 수 있습니다.
호환성 : JSON 기반이므로 다양한 플랫폼과 언어에서 쉽게 파싱하고 사용할 수 있습니다.

단점 및 고려사항

수정 및 폐기 불가 : 한 번 발급된 JWT는 만료 전까지 유효하며 중간에 무효화하기 어렵습니다. 이를 보완하려면 Refresh Token을 함께 사용해 짧은 유효기간의 Access Token을 주기적으로 갱신하는 방식이 일반적입니다.
토큰 탈취 위험 : 토큰이 클라이언트에 저장되므로(주로 브라우저의 localStorage나 cookie), XSS(Cross-Site Scripting) 공격에 노출될 가능성이 있습니다. 이를 방지하려면 HTTPS를 사용하고, 토큰을 HttpOnly, Secure 속성이 설정된 쿠키에 저장하는 것이 좋습니다.
Payload 노출 : JWT의 Payload는 암호화되지 않고 Base64로 인코딩만 되어 있어 누구나 디코딩해 내용을 볼 수 있습니다. 따라서 민감한 정보(예: 비밀번호)는 절대 포함시키지 않아야 합니다.

토큰 탈취 위험

HttpOnly
HttpOnly는 쿠키에 붙이는 속성 중 하나로, JavaScript에서 해당 쿠키에 접근하지 못하게 막는 기능입니다.

Secure
HTTPS에서만 전송되게 하는 속성 입니다.

SameSite
CSRF 방지를 위해 쿠키가 어떤 상황에서 자동으로 브라우저에 전송될지를 제한하는 속성입니다.
SameSite=Strict 설정일때에는 쿠키가 동일 출처 요청에만 전송되도록 설정합니다.

Set-Cookie : sessionId=abc123; Secure; HttpOnly; SameSite=Strict
				
//JavaScript로 접근 불가
console.log(document.cookie); // "" (빈 문자열 출력)

JWT를 쿠키에 저장할 때 : 클라이언트는 이 토큰을 JavaScript로 읽을 수 없고, 브라우저가 자동으로 서버 요청에 포함시켜 인증을 처리합니다.

Set-Cookie: token=eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiJ1c2VyMTIzIn0.서명; Path=/; Secure; HttpOnly

HTTPOnly는 쿠키를 클라이언트 측 스크립트로부터 보호하는 간단하면서도 강력한 보안 메커니즘입니다. 특히 인증 관련 데이터를 쿠키에 저장할 때 필수적으로 고려해야 하며, Secure와 SameSite 속성과 함께 사용하면 웹 애플리케이션의 보안을 더욱 강화할 수 있습니다. 다만, 클라이언트 측에서 토큰을 직접 다뤄야 하는 경우에는 대안(예: Authorization 헤더)을 고려해야 합니다.

유효기간 설정의 중요성

유효기간(exp)을 짧게 설정하는 것은 보안을 강화하는 핵심 방법입니다. 예를 들어, Access Token은 15분~1시간, Refresh Token은 하루 정도로 설정하는 경우가 많습니다. 유효기간이 길면 토큰이 유출되었을 때 악용될 시간이 늘어나므로, 짧은 주기로 갱신하며 보안과 편의성을 균형 있게 유지하는 것이 중요합니다.

JWT는 인증 외에도 권한 부여(Authorization)나 정보 교환(예: SSO, Single Sign-On)에도 사용됩니다. 예를 들어, OAuth 2.0 프레임워크에서 ID 토큰으로 활용되기도 합니다. 결론적으로, JWT는 서버 부하를 줄이고 효율적인 인증을 가능하게 하지만, 보안 설계(짧은 유효기간, Refresh Token 도입, HTTPS 필수 등)를 신중히 고려해야 효과적으로 사용할 수 있습니다.

로그인 과정에서의 JWT

사용자의 자격 증명(예: ID, 비밀번호)을 확인합니다.
인증이 성공하면, 서버는 미리 설정된 비밀 키를 사용해 JWT를 생성합니다.
생성된 JWT(헤더.페이로드.서명 형태)는 사용자에게 반환됩니다.

여기서 발행되는 것은 JWT 자체이며, 비밀 키는 그 과정에서 사용되는 도구일 뿐입니다.

비밀 키: my-secret-key (서버에 고정적으로 저장됨)
JWT: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiJ1c2VyMTIzIn0.서명값