Json Web Token, 웹에서 토큰 인증 방식으로 많이 사용되는 토큰의 종류
JSON으로 만들어진 인증 관련 정보를 인코딩한 토큰
토큰에 대한 기본 정보, 인증에 대한 서버 측에 전달할 정보, 검증되었음을 증명하는 Signature를 포함

JWT의 구조

JWT 토큰은 base64로 인코딩하여 아래와 같은 문자열 형식을 사용한다.

(Header)xxxxxxxxx.(Payload)xxxxxxxxx.(Signature)xxxxxxxxx

Header

alg: 인코딩에 사용되는 해싱 알고리즘 종류
typ: 토큰의 타입, JWT

Payload

토큰에 담을 정보가 들어감
JSON 쌍으로 구성
등록된 클레임: 토큰의 기본 정보를 담기 위한 이름이 정해져 있는 정보
- iss: 토큰 발급자
- sub: 토큰 제목
- aud: 토큰 대상자
- exp: 토큰의 만료 시간, 해당 시간이 끝난 이후에는 사용 불가
- iat: 토큰이 발급된 시간
- nbf: 토큰의 활성화 시간, 해당 시간이 지나기 전에는 사용 불가
공개 클레임
- 원하는 대로 정의한 클레임
- 충돌이 방지된 이름을 가지고 있어야 함
비공개 클레임
- 서비스에서 공유하기 위한 정보를 담은 클레임
- 이름이 중복되어 충돌 가능
- 인증에서의 사용자 ID 등이 이곳에 담김

Signature

유효성을 검증하기 위한 부분
헤더의 인코딩 값과 페이로드의 인코딩 값을 합친 후 토큰을 생성할 때 사용된 Secret Key를 통해 암호화하여 생성

인증	클라이언트	서버
1	로그인 요청
2		DB에서 ID와 비밀번호 대조 후 일치여부 확인
3		일치 시 암호화된 토큰 생성
4		응답으로 토큰 반환
5	클라이언트에 토큰 저장
인가
1	API 요청 시 헤더에 토큰을 포함시켜 요청
2		토큰을 복호화하여 유효성 검증
3		검증이 완료되었다면 API 로직 처리 후 응답
4	응답을 받음