[Loadmap] 8. 인증 - JWT

📌 JWT

json 웹 토큰 : json 객체로 안전하게 정보 전송

• 디지털 서명이 있어서 신뢰 가능
• 서명된 토큰 내 정보의 무결성 확인 가능하게 함

---

형태

xxxxx.yyyy.zzzz (헤더.유효 탑재량.서명)

• 헤더 : 알고리즘, type = 어떤 알고리즘으로 서명했는지 작성
  • Base6Url : 암호화, 복호화 가능 ↔ hash는 복호화 불가능으로 비밀번호 초기화를 진행하게 됨
    
• 페이로드
  • 등록된 클래임 : 필수x, 권장(발행자, 만료시간, 주제)
  • 개인 클래임 : 공개되도 되지만 유저를 특정하는 키 넣음
• 서명 : 헤더, 페이로드, 나만 아는 키를 알고리즘에 따라 암호화 함

---

처리 과정

로그인 - HS256 사용하는 경우

1. 클라이언트가 id와 pw 전송
2. 서버가 받아서 로그인 시도에 대한 토큰을 생성(header : 서명한 알고리즘, payload, signiture)
3. 각 3가지 내용을 base6Url로 인코딩 진행 후 클라이언트에 돌려줌

개인정보 요청

1. 클라이언트가 JWT를 가지고 요청
2. JWT 검증(유효한 토큰인지) : header+payload+자기 키 ⇒ 암호화를 통해 일치한지

로그인 - RSA 사용하는 경우

1. signiture에서 scret 없이 header와 payload 만 가지고 개인 키로 2개를 잠가서 돌려줌

   ⇒ 검증시, 공개키로 서명을 검증하면 됨