JWT/JWS 암호화 알고리즘 총정리! (HMAC, RSA, ECDSA)

이 글은 JWT에 대한 개념을 다루지 않습니다. JWT의 개념을 숙지한 다음 해당 글을 읽으시면 더 많은 도움을 받을 수 있습니다. JWT 암호화 알고리즘, 왜 중요할까?JWT는 인증/인가 시스템에서 널리 사용되는 토큰 포맷이다.이러한 JWT를 발급하고 인증하는 과정에서, 암호화 알고리즘을 선정하는 것은 아래 요소들에 큰 영향을 미친다.보안성: 키 유출 시 얼마나 위험한가? 얼마나 오래 안전한가?성능: 토큰의 발급 및 검증 속도는 얼마나 되는가?확장성: 다수의 서비스가 검증에 참여할 수 있는가? 새로운 서비스가 검증을 수행하고자 할 때의 난이도는 어떠한가?운영 난이도: 구현이 쉬운가? 디버깅 및 문제 추적이 쉬운가? 키 관리와 배포가 얼마나 쉬운가?그리하여 이번 글에서는 JWT를 다룰 때 주로 사용되는 ..

• format_list_bulleted 개발 일지/Server
• · 2025. 5. 6.
• textsms

JWT를 안전하게 발급하고 검증하는 방법

본 글은 JWT의 정의를 알고 있고, JWT를 사용해본 적이 있는 사람들을 대상으로 작성되었습니다.  개요최근에는 개인이든 기업이든 사용자 인증을 위해 JWT를 사용하는 경우가 많다. JWT는 사용자 인증을 수행하는 아주 간단한 방법이며, 우리에게 친숙한 JSON이라는 형태로 인증 정보를 다룰 수 있어 아주 좋은 기법이다.그러나 JWT의 보안 취약점에 잘 대응하지 못하면, 사용자의 정보를 탈취당하거나 제3자가 사용자인 척 행동하는 것에 속수무책으로 당할 수 있다. 이러한 사고를 예방하기 위해서는 JWT를 안전하게 발급하고 검증하는 방법들을 숙지하는 것이 중요하다.따라서, 본 글에서는 JWT를 발급하고 검증하는 주체의 시각으로 JWT를 바라보며 JWT를 안전하게 다룰 수 있는 방법들을 소개해보고자 한다. ..

• format_list_bulleted 개발 일지/Server
• · 2024. 11. 23.
• textsms

[Authorization] 2. JWT Token을 이용한 인증

등장 계기 기존에는 쿠키-세션 방식을 통해 사용자 인증을 수행하였다. 이 방법은 서버가 사용자를 식별하기 위해 사용자의 정보를 서버에 저장하고 있어야 했고, 이는 다음의 문제를 발생시켰다. 모든 사용자의 정보를 저장해야 하기 때문에 서버에 부하를 일으킨다. 서버를 확장하기 어려워진다. 서버가 여러 대가 되면 세션 정보를 공유해야 하는데, 이 과정이 복잡하기 때문 따라서 Stateful 방식으로 사용자 정보를 관리하는 것에 어려움을 느끼게 되었고, 이에 대한 대안으로 등장한 Stateless 방식의 인증 기법이 바로 Token을 이용한 인증 기법이다. JWT(JSON Web Token) 토큰 중에서도 JSON 형식의 데이터를 이용하는 토큰 JWT Format JWT는 3개의 요소인 Header, Paylo..

• format_list_bulleted 개발 일지/Server
• · 2022. 1. 18.
• textsms