[Backend] JWT

목차 (OPEN)

📌 JWT란
🔍 JWT의 정의
🧱 구성 요소 상세 분석

1️⃣ Header
2️⃣ Payload
3️⃣ Signature

✈️ 왜 JWT를 사용할까?
🔐 JWT와 OAuth의 차이점
🧠 결론

📌 JWT란

JWT (Json Web Token)이란 웹 애플리케이션에서 사용자 인증 (Authentication)과 권한 부여 (Authorization)를 위해 사용되는 토큰 기반 인증 방식이다.

이 토큰은 클라이언트-서버 간에 사용자 정보를 안전하게 교환하기 위해 사용되며,

특히 HTTP 헤더를 통해 전달 가능하고, 자체적으로 인증 정보를 포함하고 있다는 점에서 널리 사용된다.

JWT는 그 자체로 디지털 서명이 포함된 JSON 객체이며, 세션 없이 인증 상태를 유지할 수 있는 구조를 제공한다.

🔍 JWT의 정의

공식 명세를 통해 조금 더 자세히 살펴보면, JWT는 다음과 같이 정의된다.

A compact, URL-safe means of representing claims to be transferred between two parties.

즉, 두 주체 사이에서 클레임 (Claims)을 안전하게 전송하기 위한 작고, URL-safe한 방법이라는 뜻이다.

여기에서 말하는 클레임(Clamis)은 사용자 ID, 권한, 토큰 만료 시간 등의 인증과 관련된 정보를 담고 있는 데이터 집합을 의미한다.

JWT는 일반적으로 아래와 같이 세 부분으로 구성된다.

xxxxx.yyyyy.zzzzz

이 세 부분은 각각 다음의 표와 같은 의미를 갖는다.

구성 요소	설명
Header	토큰의 타입과 해싱 알고리즘 정보
Payload	사용자 식별 정보 및 클레임을 포함한 본문 데이터
Signature	토큰이 변조되지 않았음을 증명하는 서명 값

최종적으로, 각각 Base64Url 인코딩되어서 . (dot) 으로 연결된 하나의 문자열이 된다.

🧱 구성 요소 상세 분석

1️⃣ Header

{
  "alg": "HS256",
  "typ": "JWT"
}

alg: 해싱 알고리즘 (ex. HS256, RS256 등)
typ: 토큰 타입 (JWT)

이 헤더는 어떤 알고리즘을 사용해서 서명할지에 대한 메타데이터이다.

2️⃣ Payload

{
  "sub": "user123",
  "name": "소연",
  "role": "ADMIN",
  "exp": 1750600000
}

Payload는 실제로 토큰이 담고 싶은 클레임 (Claims)의 집합이다.

그리고, 이러한 클레임은 크게 다음 세 가지로 분류된다.

Registered claims (표준 클레임): iss, exp, sub, aud 등
Public claims (공개 클레임): 충돌 방지를 위해 URI로 네임스페이스 부여 필요
Private claims (사설 클레임): 클라이언트와 서버 간의 독자적인 규칙

⚠️ 주의사항

이때, Payload는 암호화되지 않기 때문에 누구든지 토큰을 디코딩해서 내부 정보를 열람할 수 있다.

따라서 민감한 정보는 절대 Payload에 포함해서는 안된다.

3️⃣ Signature

HMACSHA256(
  base64UrlEncode(header) + "." + base64UrlEncode(payload),
  secret
)

서명은 토큰의 무결성을 검증하는 데 사용된다.

따라서 클라이언트가 토큰을 위조하더라도, 서명이 일치하지 않으면 서버는 이를 검증 실패로 간주하여 거부한다.

✈️ 왜 JWT를 사용할까?

JWT를 사용하는 이유는 대표적으로 다음의 네 가지가 있다.

세션 스토리지를 사용하지 않음 (Stateless): 서버가 클라이언트 상태를 기억하지 않아도 돼서 확장성(Scalability) 용이
다양한 환경에 유연함: HTTP 헤더, 쿠키, 로컬 스토리지 등 다양한 방식으로 전달 가능
Cross-Origin 지원: RESTful API 등 CORS 환경에 유리
서명 기반 검증으로 위변조 방지

🔐 JWT와 OAuth의 차이점

많은 개발자들이 JWT와 OAuth를 혼동하는데,

Oauth는 인증 방식이고, JWT는 인증 정보를 담는 형식이다.

이러한 JWT는 OAuth의 액세스 토큰 포맷 중 하나로 사용되기도 한다.

🧠 결론

JWT는 단순하면서도 강력한 인증 매커니즘이다.

기존의 세션 기반 인증 방식이 서버에 상태를 저장하는 방식이었다면,

JWT는 토큰 그 자체에 모든 상태 정보를 담는 방식이다.

이를 통해 서버는 무상태(stateless)로 인증을 처리할 수 있으며,

이는 분산 시스템, 마이크로서비스, 서버리스 아키텍처 등에서 더욱 빛을 발한다.

'💻공부 기록 > 📌 Backend' 카테고리의 다른 글

[Backend] RedisTemplate (1)	2025.06.28
[Backend] Redis TTL + JWT (0)	2025.06.22
[Backend] Java 17 VS Java 21 (2)	2025.06.17
[Backend] CI 설정에서 distribution (0)	2025.06.17
[Backend] List형 명령어 (0)	2025.01.12

SSOSSO._.

[Backend] JWT

📌 JWT란

🔍 JWT의 정의

🧱 구성 요소 상세 분석

1️⃣ Header

2️⃣ Payload

3️⃣ Signature

✈️ 왜 JWT를 사용할까?

🔐 JWT와 OAuth의 차이점

🧠 결론

'💻공부 기록 > 📌 Backend' 카테고리의 다른 글

티스토리툴바

[Backend] JWT

📌 JWT란

🔍 JWT의 정의

🧱 구성 요소 상세 분석

1️⃣ Header

2️⃣ Payload

3️⃣ Signature

✈️ 왜 JWT를 사용할까?

🔐 JWT와 OAuth의 차이점

🧠 결론

'💻공부 기록 > 📌 Backend' 카테고리의 다른 글

'💻공부 기록/📌 Backend' Related Articles

티스토리툴바