[Spring Security] JWT Token

 🔐 JWT : Json Web Token

---

JWT는 세 부분으로 구성된다 : 헤더(Header), 페이로드(Payload), 서명(Signature).

 

https://dzone.com/articles/cookies-vs-tokens-the-definitive-guide

 

1. 헤더 (Header): 토큰의 유형 (즉, JWT)과 해싱 알고리즘 (예: HMAC SHA256 또는 RSA)을 정의하는 데 사용된다.
2. 페이로드 (Payload): 페이로드는 클레임을 포함하고 있으며, 이는 엔티티 (일반적으로 사용자)와 추가 데이터에 대한 선언으로 클레임에는 등록된 (즉, 표준에 정의된), 공개, 비공개 클레임이 있다.
3. 서명 (Signature): 헤더와 페이로드를 합친 후, 비밀키를 사용하여 이를 암호화한다. 이 서명은 토큰이 변조되지 않았음을 확인하는 데 사용되며, 비밀 키를 알고 있는 경우에만 토큰을 확인하거나 생성할 수 있다.

이 세 부분은 점 ('.')으로 구분되어 하나의 문자열로 연결된다. JWT의 가장 큰 장점 중 하나는 정보가 해당 토큰 자체에 포함되어 있기 때문에, 별도의 인증 저장소가 필요 없다는 것이다. 이는 상태를 유지하지 않는(stateless) 인증 메커니즘이 가능하게 하여 서버의 확장성을 증가시킵니다. 하지만 JWT는 토큰이 탈취되면 공격자가 그 토큰을 사용해 시스템에 접근할 수 있으므로 보안에 주의해야 한다.
 
 

🍄 JWT 토큰을 왜 사용 할까

---

세션 방식 로그인

로그인 요청이 들어오면 사용자 정보를 확인 후 서버에 세션을 만들어 사용자 정보를 DB등 서버에 저장하고, 클라이언트에 세션을 반환해 세션을 이용해 로그인 후 가능한 작업들을 수행할 수 있다.
 

이러한 세션을 이용했을 때의 문제점은

1. 서버 자원의 과도한 사용 
    - 세션은 서버에 데이터를 저장하기 때문에 많은 사용자가 동시에 서버에 접속하게 되면 서버의 부하를 증가시키고 성능을     저하시킬 수 있다.

 

2. 확장성 제한
    - 로드밸런서를 통한 다중 서버를 가지고 있을 때 서버들 간의 세션이 공유되지 못하여 세션 불일치 문제가 발생한다.
    - 세션 불일치 문제 해결방안 [https://hudi.blog/session-consistency-issue/]

    사용자 이동성 제한
    - 기기를 변경하거나 브라우저를 바꾸면 이전에 로그인한 세션 정보를 이용할 수 없게 된다.

 

jwt를 사용하면 시크릿키만 가지고 있으면 되므로 서버가 여러대 존재해도 문제가 없다.
 
 

🌚 JWT Token 사용 시 주의해야할 점

---

1. 토큰 크기
   • JWT는 세션과 비교할 때 상대적으로 크기가 커 네트워크 대역폭에 부담을 줄 수 있다.
2. 서버 측에서의 세션 관리 불가
   • 일반적으로 JWT는 상태를 유지하지 않는(stateless) 특성을 가지기 때문에 이는 서버 측에서 개별 JWT를 무효화하거나 만료시키는 것이 어렵다.
   • 토큰이 탈취당하거나 실수로 노출되면, 그 토큰은 유효기간이 만료될 때까지 유효하게 된다.
3. 보안 문제
   • 토큰이 탈취되면, 공격자는 그 토큰을 사용해 시스템에 접근할 수 있다.
4. JWT는 정보를 숨기지 않는다
   • JWT의 페이로드는 Base64로 인코딩되어 있어 쉽게 디코딩될 수 있기 때문에 중요한 개인정보나 민감한 데이터는 JWT에 포함해서는 안 된다.

 

🆚 JWT Token VS 세션

---

JWT를 사용하는 경우

1. 분산 시스템
   • 여러 서비스가 사용자의 인증 상태를 공유해야 하는 분산 시스템의 경우 JWT가 유용하다.
   • JWT는 사용자 정보를 내장하므로 서비스 간에 쉽게 전달할 수 있다.
2. 스케일링과 성능
   • 세션은 일반적으로 메모리에 저장되므로, 사용자 수가 증가하면 서버 부하를 늘릴 수 있다.
   • 반면에, JWT는 클라이언트 측에서 보관되므로 이 문제를 완화하는데 도움이 된다.
3. 모바일 애플리케이션
   • 일부 모바일 플랫폼에서는 쿠키를 지원하지 않거나 제한적으로 지원하기 때문에 JWT가 더 적합할 수 있다.

 

세션을 사용하는 경우

1. 작은 규모의 애플리케이션: 사용자 수가 많지 않은 경우, 세션 기반 인증이 더 간단하고 직관적일 수 있다. 세션은 사용자마다 서버에 유일한 ID를 저장하며, 이 ID를 사용해 사용자 정보에 접근한다.
2. 세밀한 접근 제어: 세션을 사용하면 서버 측에서 사용자의 인증 상태를 더 잘 제어할 수 있다. 예를 들어, 로그아웃 시점에 사용자 세션을 무효화할 수 있으며, 이는 JWT에서는 불가능하다.
3. 보안: JWT는 보안상의 이슈를 가질 수 있습니다. 특히, JWT는 토큰이 탈취되면 그 토큰의 유효기간이 만료될 때까지 사용할 수 있다는 문제가 있어 세션을 이용하는 것이 더 안전할 수 있다.

 

 

TODO. Spring Security JWT Token 적용하기

 
 

🧑‍🏫 reference

https://jwt.io/