📘[Web] 로그인 인증방식에 대해서…

로그인 인증 방식 - JWT 토큰

로그인을 구현하는 방식에는 3가지 방식이 있다.

방식

세션

쿠키

jwt

1. JWT

JWT(Json Web Token)란, Json형식을 이용해 사용자에 대한 속성(정보)을 저장하는 Claim 기반의 Web Token이다.
토큰 자체를 정보로 사용하는 Self-Contained 방식으로 정보를 안전하게 전달한다.

애플리케이션이 실행될 때, JWT를 static 변수와 로컬 스토리지에 저장하게 된다.
static 변수에 저장되는 이유는 HTTP 통신을 할 때마다 JWT를 HTTP 헤더에 담아서 보내야 하는데, 이를 로컬 스토리지에서 계속 불러오면 오버헤드가 발생하기 때문이다.
클라이언트에서 JWT를 포함해 요청을 보내면 서버는 허가된 JWT인지를 검사한다.
또한 로그아웃을 할 경우 로컬 스토리지에 저장된 JWT 데이터를 제거한다.
(실제 서비스의 경우에는 로그아웃 시, 사용했던 토큰을 blacklist라는 DB 테이블에 넣어 해당 토큰의 접근을 막는 작업을 해주어야 한다.)

2. JWT 구조

JWT 구조

Header

Payload

Signature

Json 형태인 각 부분은 Base64Url로 인코딩 되어 표현된다.
또, 각각의 부분을 이어주기 위해 .구분자를 사용함.

로그인/회원가입 동작 원리

회원가입

회원 정보를 받아옴 (id, pw, nickname)

회원 정보 중, 비밀번호를 해시함수로 암호화해서 데이터베이스에 저장함 - python 내의 hashlib라이브러리가 존재함

로그인

사용자의 id, pw를 받아옴

비밀번호를 똑같이 해싱 - 암호화 한 값이 저장되어있기 때문

id, 해싱된 pw로 db내의 유저를 찾음

유저를 찾으면 jwt토큰을 만들어 발급 (jwt토큰 안에는 id, 토큰 만료시간 등의 정보 포함)

jwt토큰을 암호화한 다음에 브라우저로 보냄

브라우저에서 jwt토큰값을 성공적으로 받았으면, 브라우저 쿠키(Cookie)에 이 토큰값을 저장함

이 쿠키값이 유지되는 동안, 회원이 브라우저에 API를 요청할 때마다 회원임을 확인받음 (쿠키 값은 항상 브라우저에서 서버에 무언가 요청을 보낼 떄 같이 보내진다. -> 일종의 프리패스권)

로그아웃 시, 해당 토큰 삭제

참고자료

https://thalals.tistory.com/166