🔐 JWT 완벽 가이드

🔐 JWT 완벽 가이드

안녕하세요, 개발자 여러분! 오늘은 JSON Web Token(JWT)에 대해 깊이 있게 알아보겠습니다. JWT는 복잡한 인증 문제를 우아하게 해결하는 강력한 도구입니다.

JWT란 무엇인가?

JWT(JSON Web Token)는 당사자 간에 정보를 JSON 객체로 안전하게 전송하기 위한 개방형 표준(RFC 7519)입니다. 이 정보는 디지털 서명이 되어 있어 신뢰할 수 있습니다. JWT는 HMAC 알고리즘을 사용하거나 RSA 또는 ECDSA를 사용하는 공개/개인 키 쌍으로 서명할 수 있습니다.

JWT의 구조

JWT는 세 부분으로 구성되며, 각 부분은 점(.)으로 구분됩니다:

1. 헤더(Header)
2. 페이로드(Payload)
3. 서명(Signature)

따라서 JWT는 일반적으로 다음과 같은 형태를 가집니다:

xxxxx.yyyyy.zzzzz

각 부분을 자세히 살펴보겠습니다:

1. 헤더(Header)

헤더는 일반적으로 두 부분으로 구성됩니다:

• 토큰의 유형(JWT)
• 사용된 해싱 알고리즘(예: HMAC SHA256 또는 RSA)

예시:

{
  "alg": "HS256",
  "typ": "JWT"
}

이 JSON은 Base64Url로 인코딩되어 JWT의 첫 번째 부분을 형성합니다.

2. 페이로드(Payload)

토큰의 두 번째 부분은 클레임(claims)을 포함합니다. 클레임은 엔티티(일반적으로 사용자)와 추가 데이터에 대한 설명입니다. 클레임에는 세 가지 유형이 있습니다:

• 등록된 클레임: 미리 정의된 클레임 집합(예: iss(발행자), exp(만료 시간), sub(주제), aud(대상) 등)
• 공개 클레임: JWT 사용자가 마음대로 정의할 수 있음
• 비공개 클레임: 당사자 간에 정보를 공유하기 위해 생성된 맞춤 클레임

예시:

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

페이로드는 Base64Url로 인코딩되어 JWT의 두 번째 부분을 형성합니다.

3. 서명(Signature)

서명을 생성하려면 인코딩된 헤더, 인코딩된 페이로드, secret, 헤더에 지정된 알고리즘을 가져와 서명해야 합니다.

예를 들어, HMAC SHA256 알고리즘을 사용하려면 다음과 같이 서명이 생성됩니다:

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

이 서명은 메시지가 도중에 변경되지 않았는지 확인하는 데 사용됩니다.

"JWT는 마치 봉인된 편지와 같습니다. 겉봉투(헤더)에는 편지의 종류가 쓰여 있고, 내용물(페이로드)에는 메시지가 있으며, 봉인(서명)으로 내용물이 변조되지 않았음을 보장합니다."

JWT의 작동 원리

JWT의 일반적인 인증 흐름은 다음과 같습니다:

1. 클라이언트가 사용자 자격 증명(예: 사용자 이름과 비밀번호)으로 서버에 인증 요청을 보냅니다.
2. 서버가 자격 증명을 확인하고 JWT를 생성합니다.
3. 서버가 JWT를 클라이언트에 반환합니다.
4. 클라이언트가 JWT를 저장합니다(일반적으로 로컬 스토리지나 쿠키에).
5. 이후의 모든 요청에서 클라이언트는 JWT를 Authorization 헤더에 포함시켜 서버로 보냅니다.
6. 서버는 JWT를 검증하고 요청을 처리합니다.

sequenceDiagram
    participant Client
    participant Server
    participant JWT

    Client->>Server: 1. 인증 요청 (사용자 이름/비밀번호)
    Server->>Server: 2. 자격 증명 확인
    Server->>JWT: 3. JWT 생성
    Server->>Client: 4. JWT 반환
    Client->>Client: 5. JWT 저장 (로컬 스토리지/쿠키)
    Note over Client,Server: 이후 모든 요청
    Client->>Server: 6. 요청 + JWT (Authorization 헤더)
    Server->>JWT: 7. JWT 검증
    Server->>Client: 8. 요청 처리 및 응답

JWT의 실제 활용 사례

JWT는 다양한 상황에서 활용됩니다. 몇 가지 흥미로운 사례를 자세히 살펴보겠습니다:

1. 싱글 사인온(SSO) 구현

SSO는 사용자가 한 번의 로그인으로 여러 애플리케이션에 접근할 수 있게 해주는 인증 방식입니다.

• 여러 서비스 간 원활한 인증: JWT를 사용하면 하나의 인증 서버에서 발급한 토큰으로 여러 서비스에 접근할 수 있습니다.
• 사용자 경험 개선: 사용자는 여러 번 로그인할 필요 없이 다양한 서비스를 이용할 수 있습니다.
• 보안 강화: 중앙 집중식 인증으로 보안 정책을 일관되게 적용할 수 있습니다.

예시 코드 (Node.js):

const jwt = require('jsonwebtoken');

// SSO 서버에서 JWT 생성
function generateSSOToken(user) {
  return jwt.sign({ id: user.id, email: user.email }, process.env.JWT_SECRET, { expiresIn: '1h' });
}

// 다른 서비스에서 JWT 검증
function verifySSOToken(token) {
  try {
    const decoded = jwt.verify(token, process.env.JWT_SECRET);
    return decoded;
  } catch(err) {
    return null;
  }
}

2. 마이크로서비스 아키텍처에서의 활용

마이크로서비스 아키텍처에서 JWT는 서비스 간 안전한 통신을 가능하게 합니다.

• 서비스 간 안전한 통신: 각 마이크로서비스는 JWT를 사용해 다른 서비스의 API를 호출할 수 있습니다.
• 상태 비저장(Stateless) 인증: 서버는 세션 정보를 저장할 필요 없이 JWT만으로 인증을 처리할 수 있습니다.
• 확장성 향상: JWT의 상태 비저장 특성 덕분에 서비스를 쉽게 확장할 수 있습니다.

예시 코드 (Python):

import jwt
from fastapi import FastAPI, Depends, HTTPException
from fastapi.security import OAuth2PasswordBearer

app = FastAPI()
oauth2_scheme = OAuth2PasswordBearer(tokenUrl="token")

def decode_token(token: str = Depends(oauth2_scheme)):
    try:
        payload = jwt.decode(token, "secret", algorithms=["HS256"])
        return payload
    except jwt.PyJWTError:
        raise HTTPException(status_code=401, detail="Invalid token")

@app.get("/protected")
async def protected_route(payload: dict = Depends(decode_token)):
    return {"message": "You accessed a protected route", "user_id": payload.get("sub")}

3. IoT 기기 인증

IoT 환경에서 JWT는 제한된 리소스를 가진 기기들 간의 안전한 통신을 가능하게 합니다.

• 스마트홈 기기 간 안전한 통신: 각 IoT 기기는 JWT를 사용해 서로를 인증하고 통신할 수 있습니다.
• 제한된 리소스 환경에서 효율적인 인증: JWT는 가볍고 자체 포함적이어서 리소스가 제한된 IoT 기기에 적합합니다.
• 중앙 서버 의존도 감소: 기기들은 JWT를 사용해 직접 통신할 수 있어, 중앙 서버의 부하를 줄일 수 있습니다.

예시 코드 (Arduino):

#include <ArduinoJWT.h>

ArduinoJWT jwt = ArduinoJWT("your-secret");

void setup() {
  Serial.begin(9600);

  // JWT 생성
  String payload = "{\"device_id\":\"123\",\"type\":\"temperature_sensor\"}";
  String token = jwt.encodeJWT(payload);

  Serial.println("Generated JWT:");
  Serial.println(token);

  // JWT 검증
  String decoded = jwt.decodeJWT(token);

  Serial.println("Decoded payload:");
  Serial.println(decoded);
}

void loop() {
  // 메인 로직
}

JWT 사용 시 주의사항

JWT는 강력하지만, 올바르게 사용해야 합니다. 다음은 JWT 사용 시 꼭 기억해야 할 주의사항들입니다:

1. 비밀키 관리:
   • 서명에 사용되는 비밀키를 안전하게 보관하세요.
   • 정기적으로 키를 교체하는 것이 좋습니다.
   • 환경 변수나 안전한 키 관리 서비스를 사용하세요.
2. 토큰 만료 시간 설정:
   • 너무 긴 유효 기간은 보안 위험을 초래할 수 있습니다.
   • 용도에 따라 적절한 만료 시간을 설정하세요 (예: 액세스 토큰은 짧게, 리프레시 토큰은 길게).
3. 민감한 정보 제외:
   • 페이로드에 비밀번호 같은 중요 정보를 포함하지 마세요.
   • JWT는 인코딩되어 있을 뿐, 암호화되어 있지 않다는 점을 기억하세요.
4. HTTPS 사용:
   • JWT를 항상 암호화된 연결을 통해 전송하세요.
   • HTTPS를 사용하지 않으면 토큰이 중간에 탈취될 위험이 있습니다.
5. 토큰 저장 위치:
   • 클라이언트 측에서 JWT를 안전하게 저장하세요.
   • 로컬 스토리지 대신 HttpOnly 쿠키를 사용하는 것이 좋습니다.

코드 예시 (Node.js에서 JWT 생성 및 검증):

const jwt = require('jsonwebtoken');

// JWT 생성
function generateToken(user) {
  return jwt.sign(
    { id: user.id, email: user.email },
    process.env.JWT_SECRET,
    { expiresIn: '1h' } // 1시간 후 만료
  );
}

// JWT 검증
function verifyToken(token) {
  try {
    return jwt.verify(token, process.env.JWT_SECRET);
  } catch (error) {
    console.error('Token verification failed:', error.message);
    return null;
  }
}

// 사용 예
const user = { id: 123, email: 'user@example.com' };
const token = generateToken(user);
console.log('Generated token:', token);

const decoded = verifyToken(token);
console.log('Decoded token:', decoded);

JWT의 장단점

장점

1. 상태 비저장(Stateless): 서버가 클라이언트의 상태를 저장할 필요가 없어 확장성이 높습니다.
2. 이식성: JWT는 어떤 언어나 플랫폼에서도 사용할 수 있습니다.
3. 보안성: 적절히 사용될 경우 매우 안전한 인증 방식입니다.
4. 확장성: 필요에 따라 클레임을 추가하거나 수정할 수 있습니다.

단점

1. 토큰 크기: 페이로드에 많은 정보를 담을수록 토큰 크기가 커집니다.
2. 토큰 폐기: 일단 발급된 토큰은 만료 전까지 폐기하기 어렵습니다.
3. 보안 구현의 복잡성: 안전한 JWT 구현을 위해서는 여러 보안 고려사항을 숙지해야 합니다.

JWT 구현 시 고려사항

JWT를 프로젝트에 도입할 때 고려해야 할 몇 가지 중요한 사항들이 있습니다:

1. 토큰 저장 위치:
   • 클라이언트 측에서 JWT를 어디에 저장할지 결정해야 합니다.
   • localStorage는 편리하지만 XSS 공격에 취약할 수 있습니다.
   • HttpOnly 쿠키를 사용하면 JavaScript를 통한 접근을 방지할 수 있습니다.

// Express.js에서 HttpOnly 쿠키 설정 예시
res.cookie('token', token, {
  httpOnly: true,
  secure: process.env.NODE_ENV === 'production',
  maxAge: 3600000 // 1시간
});

2. 리프레시 토큰 전략:
   • 액세스 토큰의 수명을 짧게 유지하고, 리프레시 토큰을 사용하여 새로운 액세스 토큰을 발급받는 전략을 고려하세요.
   • 이는 보안성을 높이면서도 사용자 경험을 해치지 않는 방법입니다.

// 리프레시 토큰 구현 예시
function refreshAccessToken(refreshToken) {
  try {
    const decoded = jwt.verify(refreshToken, process.env.REFRESH_TOKEN_SECRET);
    const accessToken = generateAccessToken({ id: decoded.id });
    return accessToken;
  } catch (error) {
    throw new Error('Invalid refresh token');
  }
}

sequenceDiagram
    participant Client
    participant Server
    participant AT as Access Token
    participant RT as Refresh Token

    Client->>Server: 1. 인증 요청 (사용자 이름/비밀번호)
    Server->>AT: 2. 액세스 토큰 생성 (짧은 수명)
    Server->>RT: 3. 리프레시 토큰 생성 (긴 수명)
    Server->>Client: 4. 액세스 토큰 + 리프레시 토큰 반환
    Client->>Client: 5. 토큰 저장

    Note over Client,Server: 일정 시간 후 액세스 토큰 만료

    Client->>Server: 6. 요청 + 만료된 액세스 토큰
    Server->>Client: 7. 401 Unauthorized

    Client->>Server: 8. 리프레시 요청 + 리프레시 토큰
    Server->>RT: 9. 리프레시 토큰 검증
    Server->>AT: 10. 새 액세스 토큰 생성
    Server->>Client: 11. 새 액세스 토큰 반환

    Client->>Server: 12. 요청 + 새 액세스 토큰
    Server->>Client: 13. 요청 처리 및 응답

3. 클레임 설계:
   • JWT 페이로드에 어떤 클레임을 포함할지 신중히 결정하세요.
   • 필요한 정보만 포함하여 토큰 크기를 최소화하세요.

// 클레임 예시
const payload = {
  sub: user.id,
  name: user.name,
  role: user.role,
  iat: Date.now() / 1000,
  exp: Date.now() / 1000 + 3600 // 1시간 후 만료
};

4. 에러 처리:
   • JWT 검증 실패 시 적절한 에러 처리를 구현하세요.
   • 클라이언트에게 명확한 에러 메시지를 제공하되, 보안에 민감한 정보는 노출하지 마세요.

// Express.js 미들웨어에서의 에러 처리 예시
function errorHandler(err, req, res, next) {
  if (err.name === 'UnauthorizedError') {
    return res.status(401).json({ error: 'Invalid token' });
  }
  next(err);
}

app.use(errorHandler);

JWT 보안 강화 팁

1. 알고리즘 지정:
   • JWT 검증 시 반드시 알고리즘을 명시적으로 지정하세요.
   • 이는 알고리즘 없음 공격(algorithm none attack)을 방지합니다.

jwt.verify(token, secret, { algorithms: ['HS256'] });

2. 충분히 긴 비밀키 사용:
   • 최소 256비트(32바이트) 길이의 무작위 문자열을 사용하세요.
   • 키 생성에는 암호학적으로 안전한 난수 생성기를 사용하세요.

const crypto = require('crypto');
const secret = crypto.randomBytes(32).toString('hex');

3. 토큰 수명 제한:
   • 토큰의 수명을 용도에 맞게 적절히 설정하세요.
   • 장기 토큰이 필요한 경우, 리프레시 토큰 전략을 고려하세요.
4. Payload 크기 제한:
   • JWT에 너무 많은 정보를 담지 마세요.
   • 필요한 최소한의 정보만 포함하여 성능을 최적화하세요.

결론

JWT는 현대 웹 개발에서 강력하고 유연한 인증 솔루션을 제공합니다. 그러나 이를 효과적으로 활용하기 위해서는 JWT의 작동 원리를 깊이 이해하고, 보안 모범 사례를 따르며, 프로젝트의 요구사항에 맞게 적절히 구현해야 합니다.

JWT를 올바르게 사용한다면, 안전하고 확장 가능한 웹 애플리케이션을 구축할 수 있습니다. 하지만 JWT는 만능 해결책이 아니며, 각 프로젝트의 특성과 요구사항을 고려하여 적절히 선택해야 합니다.