TIL ( 면접카타 jwt )

 

💡 면접카타 (JWT)

 

의의

 

- JWT( JSON Web Token)는 웹 애플리케이션에서 사용자 인증 및 정보 교환을 위해 널리 사용되는 표준으로, JWT는 헤더(header), 페이로드(payload), 서명(signature)으로 구성되어 있다.

- 일반적으로 클라이언트와 서버 간의 인증 및 정보 교환에 사용된다.

( 헤더: 토큰의 유형과 서명 알고리즘을 포함한다. ex) {"alg": "HS256", "typ": "JWT"} / 페이로드: 사용자에 대한 정보와 클레임을 포함한다. /서명: 헤더와 페이로드를 조합한 후 비밀 키를 사용하여 생성된 서명)

 

처리방식

 

- 클라이언트는 로그인 후 서버로부터 JWT를 발급받아 저장하고, 이후 API 요청시 이 토큰을 Authorization헤더에 포함하여 서버에 전송한다.
- 서버는 클라이언트로 받은 JWT를 검증하기 위해 서명을 확인한다/토큰이 변조되지 않았는지 확인하며, 비밀 키를 사용하여 헤더와 페이로드를 조합한 서명을 생성하고, 클라이언트가 보낸 서명과 비교하며 만료시간을 확인하여 유효한 토큰인지 판단한다.

 

재발급 방식과 주기

 

- JWT는 일반적으로 만료 시간이 설정 되어 있으며 만료된 토큰을 사용하려고 할 때, 클라이언트는 새 토큰을 요청해야 합니다. 이를 위해 리프레스 토큰을 발급받고 주기적으로 재발급한다.

• 리프레시 토큰: 액세스 토큰과 별도로 리프레시 토큰을 발급하여, 액세스 토큰이 만료되었을 때 리프레시 토큰을 사용하여 새로운 액세스 토큰을 발급받는다. 이때 리프레시 토큰은 더 긴 만료 시간을 가진다.
•  주기적 재발급: 서버에서 정기적으로 토큰을 재발급하는 방법도 있으며, 이때 클라이언트는 일정 주기로 새로운 토큰을 요청한다.

 

인증을 처리하는 방법

 

- Authorization 헤더 사용: 클라이언트는 API 요청 시 JWT를 Authorization 헤더에 포함시켜 전송한다. 예: Authorization: Bearer <token>
- 서버에서 검증: API 서버는 수신한 JWT를 검증하여 요청을 처리한다. 검증이 성공하면 요청을 수행하고, 실패하면 적절한 오류 응답을 반환한다.