JSON Web Token(JWT)

업데이트: March 30, 2021

JSON Web Token(JWT)

당사자간에 JSON 객체로 가볍고 자가 수용적인 방식으로 정보를 안전하게 전송하기 위한 개방형 표준(RFC7519)이다.
JWT는 비밀(HMAC 알고리즘 사용) 또는 RSA 또는 ECDSA를 사용하는 공개/개인 키 쌍을 사용하여 서명할 수 있다.

장점

언어의 지원 폭이 넓다.

JAVA, JavaScript, Python, Ruby 등 다양한 언어에서 JWT를 지원하므로, 언어에 제한이 없이 사용이 가능하다.

자가 수용적이다.

자체적으로 필요한 모든 정보를 JSON 형태로 가지고 있다.

쉽게 전달 가능하다.

JSON은 XML보다 간결하며, 인코딩 될 때 크기도 작아지므로 HTML과 HTTP 환경에서 전송하기 좋다.

구조

jwtStructure

JWT를 어떻게 검증(Verify)하는가에 대한 내용을 담고있다.

{
  "alg": "HS256",
  "typ": "JWT"
}

typ

토큰의 유형을 지정한다.

alg

서명 시 사용하는 해시 알고리즘을 지정한다.

Payload

토큰에 담을 클레임(Claim) 정보를 포함한다.

{
  "sub": "1234567890",
  "name": "Grace",
  "iat": 1616769012
}

Registered Claim, 등록된 클레임

토큰에 대한 정보들을 담기 위하여 이름이 이미 정해진 클레임들이다.
대표적인 예로 iss(발행자), exp(만료 시간), sub(주제) 등이 있으며, 세부 항목은 여기에 정의되어 있다.

Public Claim, 공개 클레임

충돌이 방지된(Collision-Resistant) 이름을 가지고 있는 클레임들이다.
일반적으로 URI 형식으로 정의한다.

Private Claim, 비공개 클레임

양 측이 협의 하에 사용되는 클레임들이다.

Signature

헤더의 인코딩 값과 정보의 인코딩 값을 합친 후 주어진 비밀키로 해시하여 생성한다.

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secretKey
)

Kim

JSON Web Token(JWT)

JSON Web Token(JWT)

장점

언어의 지원 폭이 넓다.

자가 수용적이다.

쉽게 전달 가능하다.

구조

Header

typ

alg

Payload

Registered Claim, 등록된 클레임

Public Claim, 공개 클레임

Private Claim, 비공개 클레임

Signature

Reference

댓글남기기

참고

Leetcode Java Count Unguarded Cells in the Grid

Leetcode Java Maximum Sum of Distinct Subarrays With Length K

Leetcode Java Defuse the Bomb

Leetcode Java Minimum Cost to Move Chips to The Same Position