노드에서 JWT란?

한줄 요약 : JSON Web Token의 줄인 말

 

 

 

 

 

# 구체적으로 어디서 처리하는지?, 어떠한 방식으로 검증을 하는지? :

 

처리: 사용자가 로그인하면 서버에서 JWT를 생성하여 반환
검증: 클라이언트는 요청 시 JWT를 서버에 제출하고, 서버는 유효성을 검증하여 요청을 수락하거나 거부

 

 

 

 

 

 

# 재발급 방식과 주기는 어떻게 처리하는지?

재발급 프로세스

1. 초기 발급:
   • 클라이언트가 로그인 시, 서버는 액세스 토큰과 리프레시 토큰을 발급
   • 액세스 토큰은 비교적 짧은 유효 기간을 가지며, 주로 사용자 인증에 사용
   • 리프레시 토큰은 더 긴 유효 기간을 가지며, 새로운 액세스 토큰을 발급받는 데 사용
2. 토큰 만료 확인:
   • 클라이언트가 서버에 요청을 보낼 때, 액세스 토큰이 만료되었는지 확인
   • 액세스 토큰이 만료되었을 경우 리프레시 토큰을 서버로 전송하여 새로운 액세스 토큰을 요청
3. 재발급:
   • 서버는 리프레시 토큰을 검증한 후 새로운 액세스 토큰(및 필요한 경우 새로운 리프레시 토큰)을 발급
   • 클라이언트는 갱신된 토큰을 저장하고 이후 요청에 사용
4. 리프레시 토큰 만료:
   • 리프레시 토큰도 만료된 경우, 사용자는 다시 로그인을 해야 함

JWT 재발급 주기

JWT 갱신 주기는 서비스의 보안 수준과 사용자 편의성을 기반으로 설정

1. 액세스 토큰의 유효 기간:
   • 일반적으로 5분~1시간 이내로 설정
   • 짧은 유효 기간은 토큰 탈취로 인한 피해를 최소화하지만, 토큰 갱신 요청이 잦아질 수 있음
2. 리프레시 토큰의 유효 기간:
   • 일반적으로 몇 시간에서 며칠, 심지어 몇 주로 설정
   • 예를 들어, 액세스 토큰이 1시간 유효한 경우, 리프레시 토큰은 1~7일간 유효하게 설정할 수 있
3. 재발급 조건:
   • 리프레시 토큰을 이용한 갱신 요청은 액세스 토큰 만료 후에만 허용하거나, 만료 전에 새로운 액세스 토큰을 발급할 수 있도록 구성(슬라이딩 세션 방식).

 

 

 

 

 

 

# 다른 API 서비스 호출 시 어떻게 잡아서 인증 처리하는지?

 

일반적인 API 인증 처리 흐름

1) 클라이언트 인증

클라이언트가 API를 호출할 때, 다음과 같은 인증 정보를 요청 헤더 또는 URL 매개변수로 포함시켜야 함

• API 키: 간단한 인증 방식으로, 클라이언트에 발급된 고유 키를 사용.
• JWT (JSON Web Token): 클라이언트가 받은 토큰을 Authorization: Bearer {token} 형식으로 헤더에 포함.
• OAuth 토큰: OAuth 2.0을 통해 얻은 액세스 토큰 사용.

2) API Gateway 역할

API Gateway는 모든 요청을 가로채고 다음을 수행

• 인증 토큰 검증: API 호출의 Authorization 헤더 또는 매개변수에 포함된 토큰/키를 확인.
• IP 화이트리스트 또는 블랙리스트: 신뢰할 수 있는 클라이언트에서 요청이 오는지 확인.
• 요청 속도 제한: API 남용 방지.

3) 인증 처리

인증이 성공하면, API Gateway나 인증 서버는 클라이언트의 요청을 실제 서비스 API에 전달합니다. 이때 필요한 경우 클라이언트 정보를 추가하거나 리다이렉트.

---

API 간 통신에서의 인증 처리

API 서비스 간 통신 시에도 인증이 필요합니다. 일반적으로 다음과 같은 방식을 사용함

1) JWT 기반 인증

• 요청을 보내는 API가 사전에 발급받은 JWT를 사용
• JWT는 다음 정보가 포함된 토큰입니다:
  • 발급자(issuer)
  • 만료 시간(expiration time)
  • 요청한 서비스(scope)
• API 서버는 토큰의 유효성을 검증한 후 요청을 처리

2) OAuth 2.0

OAuth 2.0은 API 간 통신에서도 자주 사용

• 호출하는 API는 인증 서버로부터 **클라이언트 자격 증명(client credentials)**을 통해 액세스 토큰을 발급
• 이 토큰은 호출받는 API에서 유효성을 검증하여 통신을 허용

3) API 키

• 간단한 경우, API 서비스 간 통신에서 API 키를 사용하여 인증을 처리
• 클라이언트 서비스는 API 호출 시 X-API-Key 헤더에 키를 포함
• API 키는 고정적이므로 보안 위협이 클 수 있습니다. 따라서 IP 제한이나 요청 속도 제한 등을 추가로 적용

 

=============================================================================

참고 블로그: https://jinn-blog.tistory.com/187

🔐 JWT 완벽 가이드

 

JWT란 무엇인가?

JWT(JSON Web Token)는 당사자 간에 정보를 JSON 객체로 안전하게 전송하기 위한 개방형 표준(RFC 7519)입니다. 이 정보는 디지털 서명이 되어 있어 신뢰할 수 있습니다. JWT는 HMAC 알고리즘을 사용하거나 RSA 또는 ECDSA를 사용하는 공개/개인 키 쌍으로 서명할 수 있습니다.

JWT의 구조

JWT는 세 부분으로 구성되며, 각 부분은 점(.)으로 구분됩니다:

1. 헤더(Header)
2. 페이로드(Payload)
3. 서명(Signature)

따라서 JWT는 일반적으로 다음과 같은 형태를 가집니다:

xxxxx.yyyyy.zzzzz

각 부분을 자세히 살펴보겠습니다:

1. 헤더(Header)

헤더는 일반적으로 두 부분으로 구성됩니다:

• 토큰의 유형(JWT)
• 사용된 해싱 알고리즘(예: HMAC SHA256 또는 RSA)

예시:

{
  "alg": "HS256",
  "typ": "JWT"
}

이 JSON은 Base64Url로 인코딩되어 JWT의 첫 번째 부분을 형성합니다.

2. 페이로드(Payload)

토큰의 두 번째 부분은 클레임(claims)을 포함합니다. 클레임은 엔티티(일반적으로 사용자)와 추가 데이터에 대한 설명입니다. 클레임에는 세 가지 유형이 있습니다:

• 등록된 클레임: 미리 정의된 클레임 집합(예: iss(발행자), exp(만료 시간), sub(주제), aud(대상) 등)
• 공개 클레임: JWT 사용자가 마음대로 정의할 수 있음
• 비공개 클레임: 당사자 간에 정보를 공유하기 위해 생성된 맞춤 클레임

예시:

{
  "sub": "1234567890",
  "name": "John Doe",
  "admin": true
}

페이로드는 Base64Url로 인코딩되어 JWT의 두 번째 부분을 형성합니다.

3. 서명(Signature)

서명을 생성하려면 인코딩된 헤더, 인코딩된 페이로드, secret, 헤더에 지정된 알고리즘을 가져와 서명해야 합니다.

예를 들어, HMAC SHA256 알고리즘을 사용하려면 다음과 같이 서명이 생성됩니다:

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

이 서명은 메시지가 도중에 변경되지 않았는지 확인하는 데 사용됩니다.

"JWT는 마치 봉인된 편지와 같습니다. 겉봉투(헤더)에는 편지의 종류가 쓰여 있고, 내용물(페이로드)에는 메시지가 있으며, 봉인(서명)으로 내용물이 변조되지 않았음을 보장합니다."

JWT의 작동 원리

JWT의 일반적인 인증 흐름은 다음과 같습니다:

1. 클라이언트가 사용자 자격 증명(예: 사용자 이름과 비밀번호)으로 서버에 인증 요청을 보냅니다.
2. 서버가 자격 증명을 확인하고 JWT를 생성합니다.
3. 서버가 JWT를 클라이언트에 반환합니다.
4. 클라이언트가 JWT를 저장합니다(일반적으로 로컬 스토리지나 쿠키에).
5. 이후의 모든 요청에서 클라이언트는 JWT를 Authorization 헤더에 포함시켜 서버로 보냅니다.
6. 서버는 JWT를 검증하고 요청을 처리합니다.

JWTServerClientJWTServerClient이후 모든 요청1. 인증 요청 (사용자 이름/비밀번호)2. 자격 증명 확인3. JWT 생성4. JWT 반환5. JWT 저장 (로컬 스토리지/쿠키)6. 요청 + JWT (Authorization 헤더)7. JWT 검증8. 요청 처리 및 응답

JWT의 실제 활용 사례

JWT는 다양한 상황에서 활용됩니다. 몇 가지 흥미로운 사례를 자세히 살펴보겠습니다:

1. 싱글 사인온(SSO) 구현

SSO는 사용자가 한 번의 로그인으로 여러 애플리케이션에 접근할 수 있게 해주는 인증 방식입니다.

• 여러 서비스 간 원활한 인증: JWT를 사용하면 하나의 인증 서버에서 발급한 토큰으로 여러 서비스에 접근할 수 있습니다.
• 사용자 경험 개선: 사용자는 여러 번 로그인할 필요 없이 다양한 서비스를 이용할 수 있습니다.
• 보안 강화: 중앙 집중식 인증으로 보안 정책을 일관되게 적용할 수 있습니다.

예시 코드 (Node.js):

const jwt = require('jsonwebtoken');

// SSO 서버에서 JWT 생성
function generateSSOToken(user) {
  return jwt.sign({ id: user.id, email: user.email }, process.env.JWT_SECRET, { expiresIn: '1h' });
}

// 다른 서비스에서 JWT 검증
function verifySSOToken(token) {
  try {
    const decoded = jwt.verify(token, process.env.JWT_SECRET);
    return decoded;
  } catch(err) {
    return null;
  }
}

2. 마이크로서비스 아키텍처에서의 활용

마이크로서비스 아키텍처에서 JWT는 서비스 간 안전한 통신을 가능하게 합니다.

• 서비스 간 안전한 통신: 각 마이크로서비스는 JWT를 사용해 다른 서비스의 API를 호출할 수 있습니다.
• 상태 비저장(Stateless) 인증: 서버는 세션 정보를 저장할 필요 없이 JWT만으로 인증을 처리할 수 있습니다.
• 확장성 향상: JWT의 상태 비저장 특성 덕분에 서비스를 쉽게 확장할 수 있습니다.

예시 코드 (Python):

import jwt
from fastapi import FastAPI, Depends, HTTPException
from fastapi.security import OAuth2PasswordBearer

app = FastAPI()
oauth2_scheme = OAuth2PasswordBearer(tokenUrl="token")

def decode_token(token: str = Depends(oauth2_scheme)):
    try:
        payload = jwt.decode(token, "secret", algorithms=["HS256"])
        return payload
    except jwt.PyJWTError:
        raise HTTPException(status_code=401, detail="Invalid token")

@app.get("/protected")
async def protected_route(payload: dict = Depends(decode_token)):
    return {"message": "You accessed a protected route", "user_id": payload.get("sub")}

3. IoT 기기 인증

IoT 환경에서 JWT는 제한된 리소스를 가진 기기들 간의 안전한 통신을 가능하게 합니다.

• 스마트홈 기기 간 안전한 통신: 각 IoT 기기는 JWT를 사용해 서로를 인증하고 통신할 수 있습니다.
• 제한된 리소스 환경에서 효율적인 인증: JWT는 가볍고 자체 포함적이어서 리소스가 제한된 IoT 기기에 적합합니다.
• 중앙 서버 의존도 감소: 기기들은 JWT를 사용해 직접 통신할 수 있어, 중앙 서버의 부하를 줄일 수 있습니다.

예시 코드 (Arduino):

#include <ArduinoJWT.h>

ArduinoJWT jwt = ArduinoJWT("your-secret");

void setup() {
  Serial.begin(9600);

  // JWT 생성
  String payload = "{\"device_id\":\"123\",\"type\":\"temperature_sensor\"}";
  String token = jwt.encodeJWT(payload);

  Serial.println("Generated JWT:");
  Serial.println(token);

  // JWT 검증
  String decoded = jwt.decodeJWT(token);

  Serial.println("Decoded payload:");
  Serial.println(decoded);
}

void loop() {
  // 메인 로직
}

JWT 사용 시 주의사항

JWT는 강력하지만, 올바르게 사용해야 합니다. 다음은 JWT 사용 시 꼭 기억해야 할 주의사항들입니다:

1. 비밀키 관리:
   • 서명에 사용되는 비밀키를 안전하게 보관하세요.
   • 정기적으로 키를 교체하는 것이 좋습니다.
   • 환경 변수나 안전한 키 관리 서비스를 사용하세요.
2. 토큰 만료 시간 설정:
   • 너무 긴 유효 기간은 보안 위험을 초래할 수 있습니다.
   • 용도에 따라 적절한 만료 시간을 설정하세요 (예: 액세스 토큰은 짧게, 리프레시 토큰은 길게).
3. 민감한 정보 제외:
   • 페이로드에 비밀번호 같은 중요 정보를 포함하지 마세요.
   • JWT는 인코딩되어 있을 뿐, 암호화되어 있지 않다는 점을 기억하세요.
4. HTTPS 사용:
   • JWT를 항상 암호화된 연결을 통해 전송하세요.
   • HTTPS를 사용하지 않으면 토큰이 중간에 탈취될 위험이 있습니다.
5. 토큰 저장 위치:
   • 클라이언트 측에서 JWT를 안전하게 저장하세요.
   • 로컬 스토리지 대신 HttpOnly 쿠키를 사용하는 것이 좋습니다.

코드 예시 (Node.js에서 JWT 생성 및 검증):

const jwt = require('jsonwebtoken');

// JWT 생성
function generateToken(user) {
  return jwt.sign(
    { id: user.id, email: user.email },
    process.env.JWT_SECRET,
    { expiresIn: '1h' } // 1시간 후 만료
  );
}

// JWT 검증
function verifyToken(token) {
  try {
    return jwt.verify(token, process.env.JWT_SECRET);
  } catch (error) {
    console.error('Token verification failed:', error.message);
    return null;
  }
}

// 사용 예
const user = { id: 123, email: 'user@example.com' };
const token = generateToken(user);
console.log('Generated token:', token);

const decoded = verifyToken(token);
console.log('Decoded token:', decoded);

JWT의 장단점

장점

1. 상태 비저장(Stateless): 서버가 클라이언트의 상태를 저장할 필요가 없어 확장성이 높습니다.
2. 이식성: JWT는 어떤 언어나 플랫폼에서도 사용할 수 있습니다.
3. 보안성: 적절히 사용될 경우 매우 안전한 인증 방식입니다.
4. 확장성: 필요에 따라 클레임을 추가하거나 수정할 수 있습니다.

단점

1. 토큰 크기: 페이로드에 많은 정보를 담을수록 토큰 크기가 커집니다.
2. 토큰 폐기: 일단 발급된 토큰은 만료 전까지 폐기하기 어렵습니다.
3. 보안 구현의 복잡성: 안전한 JWT 구현을 위해서는 여러 보안 고려사항을 숙지해야 합니다.

JWT 구현 시 고려사항

JWT를 프로젝트에 도입할 때 고려해야 할 몇 가지 중요한 사항들이 있습니다:

1. 토큰 저장 위치:
   • 클라이언트 측에서 JWT를 어디에 저장할지 결정해야 합니다.
   • localStorage는 편리하지만 XSS 공격에 취약할 수 있습니다.
   • HttpOnly 쿠키를 사용하면 JavaScript를 통한 접근을 방지할 수 있습니다.

// Express.js에서 HttpOnly 쿠키 설정 예시
res.cookie('token', token, {
  httpOnly: true,
  secure: process.env.NODE_ENV === 'production',
  maxAge: 3600000 // 1시간
});

1. 리프레시 토큰 전략:
   • 액세스 토큰의 수명을 짧게 유지하고, 리프레시 토큰을 사용하여 새로운 액세스 토큰을 발급받는 전략을 고려하세요.
   • 이는 보안성을 높이면서도 사용자 경험을 해치지 않는 방법입니다.

// 리프레시 토큰 구현 예시
function refreshAccessToken(refreshToken) {
  try {
    const decoded = jwt.verify(refreshToken, process.env.REFRESH_TOKEN_SECRET);
    const accessToken = generateAccessToken({ id: decoded.id });
    return accessToken;
  } catch (error) {
    throw new Error('Invalid refresh token');
  }
}

Refresh TokenAccess TokenServerClientRefresh TokenAccess TokenServerClient일정 시간 후 액세스 토큰 만료1. 인증 요청 (사용자 이름/비밀번호)2. 액세스 토큰 생성 (짧은 수명)3. 리프레시 토큰 생성 (긴 수명)4. 액세스 토큰 + 리프레시 토큰 반환5. 토큰 저장6. 요청 + 만료된 액세스 토큰7. 401 Unauthorized8. 리프레시 요청 + 리프레시 토큰9. 리프레시 토큰 검증10. 새 액세스 토큰 생성11. 새 액세스 토큰 반환12. 요청 + 새 액세스 토큰13. 요청 처리 및 응답

1. 클레임 설계:
   • JWT 페이로드에 어떤 클레임을 포함할지 신중히 결정하세요.
   • 필요한 정보만 포함하여 토큰 크기를 최소화하세요.

// 클레임 예시
const payload = {
  sub: user.id,
  name: user.name,
  role: user.role,
  iat: Date.now() / 1000,
  exp: Date.now() / 1000 + 3600 // 1시간 후 만료
};

1. 에러 처리:
   • JWT 검증 실패 시 적절한 에러 처리를 구현하세요.
   • 클라이언트에게 명확한 에러 메시지를 제공하되, 보안에 민감한 정보는 노출하지 마세요.

// Express.js 미들웨어에서의 에러 처리 예시
function errorHandler(err, req, res, next) {
  if (err.name === 'UnauthorizedError') {
    return res.status(401).json({ error: 'Invalid token' });
  }
  next(err);
}

app.use(errorHandler);

JWT 보안 강화 팁

1. 알고리즘 지정:
   • JWT 검증 시 반드시 알고리즘을 명시적으로 지정하세요.
   • 이는 알고리즘 없음 공격(algorithm none attack)을 방지합니다.

jwt.verify(token, secret, { algorithms: ['HS256'] });

1. 충분히 긴 비밀키 사용:
   • 최소 256비트(32바이트) 길이의 무작위 문자열을 사용하세요.
   • 키 생성에는 암호학적으로 안전한 난수 생성기를 사용하세요.

const crypto = require('crypto');
const secret = crypto.randomBytes(32).toString('hex');

1. 토큰 수명 제한:
   • 토큰의 수명을 용도에 맞게 적절히 설정하세요.
   • 장기 토큰이 필요한 경우, 리프레시 토큰 전략을 고려하세요.
2. Payload 크기 제한:
   • JWT에 너무 많은 정보를 담지 마세요.
   • 필요한 최소한의 정보만 포함하여 성능을 최적화하세요.

결론

JWT는 현대 웹 개발에서 강력하고 유연한 인증 솔루션을 제공합니다. 그러나 이를 효과적으로 활용하기 위해서는 JWT의 작동 원리를 깊이 이해하고, 보안 모범 사례를 따르며, 프로젝트의 요구사항에 맞게 적절히 구현해야 합니다.

JWT를 올바르게 사용한다면, 안전하고 확장 가능한 웹 애플리케이션을 구축할 수 있습니다. 하지만 JWT는 만능 해결책이 아니며, 각 프로젝트의 특성과 요구사항을 고려하여 적절히 선택해야 합니다.