JSON 웹 토큰(JWT): 널리 사용되는 교차 도메인 인증 솔루션
이 글에서는 현재 가장 인기 있는 크로스 도메인 인증 솔루션인 JWT(JSON Web Token)의 원리와 사용법을 소개합니다.
1. 교차 도메인 인증의 과제
인터넷 서비스는 사용자 인증과 불가분의 관계입니다. 전통적인 프로세스는 다음과 같습니다.
- 사용자는 사용자 이름과 비밀번호를 서버로 보냅니다.
- 서버 인증이 성공하면 사용자 역할, 로그인 시간 및 기타 관련 데이터가 현재 세션에 저장됩니다.
- 서버는 사용자에게 session_id를 반환하고 이를 사용자의 쿠키에 씁니다.
- 사용자가 이후에 요청할 때마다 쿠키를 통해 session_id를 서버로 다시 보냅니다.
- 서버는 session_id를 받은 후 미리 저장된 데이터를 찾아 사용자를 식별합니다.
이 모델은 확장성이 좋지 않습니다. 단일 시스템 환경은 괜찮지만 서버 클러스터 또는 크로스 도메인 서비스 지향 아키텍처에서는 세션 데이터 공유가 필요하며 각 서버는 세션을 읽을 수 있습니다. 예를 들어, A사이트와 B사이트는 동일한 회사의 관련 서비스입니다. 사용자가 한 사이트에 로그인한 후 다른 사이트를 방문하면 자동으로 로그인됩니다. 한 가지 해결 방법은 세션 데이터를 유지하고 이를 데이터베이스나 다른 지속성 계층에 쓴 다음 각 서비스가 요청을 받은 후 지속성 계층에서 데이터를 요청하는 것입니다. 이 솔루션은 명확한 아키텍처를 가지고 있지만 작업 부하가 크고 지속성 계층 오류로 인해 단일 오류 지점이 발생합니다. 또 다른 옵션은 서버가 세션 데이터를 전혀 저장하지 않고 모든 데이터가 클라이언트에 저장되고 모든 요청과 함께 서버로 다시 전송된다는 것입니다. JWT는 이러한 접근 방식을 나타냅니다.
2. JWT의 원리
JWT의 원칙은 서버가 확인 후 JSON 개체를 생성하여 사용자에게 반환하는 것입니다. 예:
{"name": "Alice", "role": "admin", "expiration time": "2024年7月1日0:00"}
나중에 사용자가 서버와 통신할 때 이 JSON 객체를 반환해야 하며, 서버는 이 객체를 기반으로 사용자의 신원을 완전히 판단합니다. 사용자가 데이터를 조작하는 것을 방지하기 위해 서버는 이 개체를 생성할 때 서명을 추가합니다(자세한 내용은 나중에 설명). 서버는 더 이상 세션 데이터를 저장하지 않습니다. 즉, 서버는 상태 비저장 상태가 되고 확장하기가 더 쉬워집니다.
3. JWT 데이터 구조
실제 JWT는 다음과 같습니다.
점(.)으로 세 부분으로 구분된 긴 문자열입니다. JWT 내부에는 줄 바꿈이 없습니다. 여기서 줄 바꿈은 단지 표시하기 쉽도록 하기 위한 것입니다. JWT의 세 부분은 다음과 같습니다.
- 헤더
- 페이로드
- 서명
한 줄은 Header.Payload.Signature로 표현됩니다
아래 세 부분을 소개합니다.
3.1 헤더
헤더 부분은 JWT의 메타데이터를 설명하는 JSON 개체이며 일반적으로 다음과 같습니다.
{"alg": "HS256", "typ": "JWT"}
alg 속성은 서명 알고리즘을 나타내며 기본값은 HMAC SHA256(HS256)입니다. typ 속성은 이 토큰의 유형을 나타내며 JWT 토큰은 JWT로 균일하게 작성됩니다. 이 JSON 개체는 궁극적으로 Base64URL 알고리즘을 사용하여 문자열로 변환됩니다(자세한 내용은 아래 참조).
3.2 페이로드
페이로드 부분은 전송해야 하는 실제 데이터를 저장하는 데 사용되는 JSON 개체이기도 합니다. JWT는 7개의 공식 선택 필드를 정의합니다.
- iss(발행자): 발행자
- exp(만료 시간): 만료 시간
- sub(제목): 제목
- audi(청중):청중
- nbf(Not Before): 유효 시간
- iat(발급지):발급시간
- jti(JWT ID): 일련번호
공식 필드 외에도 비공개 필드도 맞춤 설정할 수 있습니다. 예:
{"name": "Alice", "role": "admin", "expiration time": "2024年7月1日0:00"}
JWT는 기본적으로 암호화되지 않으며 누구나 읽을 수 있으므로 이 섹션에 비밀 정보를 입력하지 마세요. 이 JSON 개체도 Base64URL 알고리즘을 사용하여 문자열로 변환해야 합니다.
3.3 시그니처
서명 부분은 데이터 변조를 방지하기 위해 사용되는 처음 두 부분의 서명입니다. 먼저 비밀을 지정해야 합니다. 이 비밀은 서버에서만 알 수 있으며 사용자에게 유출될 수 없습니다. 그런 다음 헤더에 지정된 서명 알고리즘(기본값은 HMAC SHA256)을 사용하여 다음 공식에 따라 서명을 생성합니다.
{"alg": "HS256", "typ": "JWT"}
서명을 계산한 후 Header, Payload, Signature 세 부분이 문자열로 결합되고 각 부분은 "점"(.)으로 구분되어 사용자에게 반환될 수 있습니다.
3.4 Base64URL
앞서 언급했듯이 Header와 Payload의 직렬화 알고리즘은 Base64URL입니다. 이 알고리즘은 기본적으로 Base64 알고리즘과 유사하지만 약간의 차이점이 있습니다. 토큰으로서 JWT는 때때로 URL(예: api.example.com/?token=xxx)에 배치될 수 있습니다. Base64의 세 문자인 / 및 =는 URL에서 특별한 의미를 가지므로 바꿔야 합니다. 생략되어 -로 대체되고, /는 _로 대체됩니다. 이것은 Base64URL 알고리즘입니다.
4. JWT 사용 방법
클라이언트는 서버에서 반환된 JWT를 받은 후 이를 Cookie 또는 localStorage에 저장할 수 있습니다. 클라이언트는 서버와 통신할 때마다 이 JWT를 전달해야 합니다. 쿠키에 저장되어 자동으로 전송될 수 있지만 도메인 전체에 걸쳐 전송될 수는 없습니다. 더 나은 접근 방식은 HTTP 요청 헤더의 Authorization 필드에 이를 넣는 것입니다.
권한: 무기명
또 다른 접근 방식은 도메인을 교차할 때 POST 요청 본문에 JWT를 넣는 것입니다.
5. JWT의 여러 특징
(1) JWT는 기본적으로 암호화되지 않지만 암호화할 수 있습니다. 원본 토큰이 생성된 후 키를 사용하여 다시 암호화할 수 있습니다.
(2) JWT가 암호화되지 않으면 비밀 데이터를 쓸 수 없습니다.
(3) JWT는 신원 확인뿐만 아니라 정보 교환에도 사용될 수 있습니다. JWT를 효과적으로 사용하면 서버가 데이터베이스를 쿼리하는 횟수를 줄일 수 있습니다.
(4) JWT의 가장 큰 단점은 서버가 세션 상태를 저장하지 않으며 사용 중에 토큰을 취소하거나 토큰의 권한을 변경할 수 없다는 것입니다. 즉, JWT가 발행되면 서버가 추가 로직을 배포하지 않는 한 만료될 때까지 유효합니다.
(5) JWT 자체에는 인증 정보가 포함되어 있으며, 일단 유출되면 누구나 토큰에 대한 모든 권한을 얻을 수 있습니다. 도난을 줄이기 위해서는 JWT의 유효기간을 상대적으로 짧게 설정해야 합니다. 더 중요한 일부 권한의 경우 사용자는 해당 권한을 사용할 때 다시 인증해야 합니다.
(6) 도난을 줄이기 위해 JWT는 HTTP 프로토콜을 사용하여 일반 텍스트로 전송해서는 안 되며, HTTPS 프로토콜을 사용하여 전송해야 합니다.
Leapcell: 최고의 서버리스 웹 호스팅 플랫폼
마지막으로 웹 서비스 배포를 위한 최고의 플랫폼을 추천합니다: Leapcell
1. 다국어 지원
- JavaScript, Python, Go 또는 Rust로 개발하세요.
2. 무제한 프로젝트를 무료로 배포하세요
- 사용한 만큼만 비용을 지불하세요. 요청이나 수수료가 없습니다.
3. 비교할 수 없는 가성비
- 사용한 만큼 지불하고 유휴 수수료가 없습니다.
- 예: $25는 평균 응답 시간이 60ms인 694만 개의 요청을 지원합니다.
4. 단순화된 개발자 경험
- 직관적인 UI, 설정이 쉽습니다.
- 완전 자동화된 CI/CD 파이프라인 및 GitOps 통합.
- 실행 가능한 통찰력을 위한 실시간 지표 및 로깅.
5. 손쉬운 확장과 고성능
- 높은 동시성을 쉽게 처리할 수 있는 자동 확장.
- 운영 오버헤드가 없습니다. 구축에만 집중하세요.
문서에서 자세히 알아보세요!
Leapcell 트위터: https://www.php.cn/link/7884effb9452a6d7a7a79499ef854afd
위 내용은 JWT(JSON 웹 토큰) 마스터하기: 심층 분석의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
JavaScript로 문자열 문자를 교체하십시오Mar 11, 2025 am 12:07 AMJavaScript 문자열 교체 방법 및 FAQ에 대한 자세한 설명 이 기사는 JavaScript에서 문자열 문자를 대체하는 두 가지 방법 인 내부 JavaScript 코드와 웹 페이지의 내부 HTML을 탐색합니다. JavaScript 코드 내부의 문자열을 교체하십시오 가장 직접적인 방법은 대체 () 메소드를 사용하는 것입니다. str = str.replace ( "find", "replace"); 이 메소드는 첫 번째 일치 만 대체합니다. 모든 경기를 교체하려면 정규 표현식을 사용하고 전역 플래그 g를 추가하십시오. str = str.replace (/fi
사용자 정의 Google 검색 API 설정 자습서Mar 04, 2025 am 01:06 AM이 튜토리얼은 사용자 정의 Google 검색 API를 블로그 또는 웹 사이트에 통합하는 방법을 보여 주며 표준 WordPress 테마 검색 기능보다보다 세련된 검색 경험을 제공합니다. 놀랍게도 쉽습니다! 검색을 Y로 제한 할 수 있습니다
자신의 Ajax 웹 응용 프로그램을 구축하십시오Mar 09, 2025 am 12:11 AM그래서 여기 당신은 Ajax라는이 일에 대해 배울 준비가되어 있습니다. 그러나 정확히 무엇입니까? Ajax라는 용어는 역동적이고 대화식 웹 컨텐츠를 만드는 데 사용되는 느슨한 기술 그룹을 나타냅니다. 원래 Jesse J에 의해 만들어진 Ajax라는 용어
예제 색상 JSON 파일Mar 03, 2025 am 12:35 AM이 기사 시리즈는 2017 년 중반에 최신 정보와 새로운 예제로 다시 작성되었습니다. 이 JSON 예에서는 JSON 형식을 사용하여 파일에 간단한 값을 저장하는 방법을 살펴 봅니다. 키 값 쌍 표기법을 사용하여 모든 종류를 저장할 수 있습니다.
10 JQuery Syntax HighlighterMar 02, 2025 am 12:32 AM코드 프레젠테이션 향상 : 개발자를위한 10 개의 구문 하이 라이터 웹 사이트 나 블로그에서 코드 스 니펫을 공유하는 것은 개발자에게 일반적인 관행입니다. 올바른 구문 형광펜을 선택하면 가독성과 시각적 매력을 크게 향상시킬 수 있습니다. 티
10 JavaScript & JQuery MVC 자습서Mar 02, 2025 am 01:16 AM이 기사는 JavaScript 및 JQuery Model-View-Controller (MVC) 프레임 워크에 대한 10 개가 넘는 튜토리얼을 선별 한 것으로 새해에 웹 개발 기술을 향상시키는 데 적합합니다. 이 튜토리얼은 Foundatio의 다양한 주제를 다룹니다
8 멋진 jQuery 페이지 레이아웃 플러그인Mar 06, 2025 am 12:48 AM손쉬운 웹 페이지 레이아웃에 대한 jQuery 활용 : 8 에센셜 플러그인 jQuery는 웹 페이지 레이아웃을 크게 단순화합니다. 이 기사는 프로세스를 간소화하는 8 개의 강력한 JQuery 플러그인을 강조합니다. 특히 수동 웹 사이트 생성에 유용합니다.
' this ' 자바 스크립트로?Mar 04, 2025 am 01:15 AM핵심 포인트 JavaScript에서는 일반적으로 메소드를 "소유"하는 객체를 말하지만 함수가 호출되는 방식에 따라 다릅니다. 현재 객체가 없으면 글로벌 객체를 나타냅니다. 웹 브라우저에서는 창으로 표시됩니다. 함수를 호출 할 때 이것은 전역 객체를 유지하지만 객체 생성자 또는 그 메소드를 호출 할 때는 객체의 인스턴스를 나타냅니다. call (), apply () 및 bind ()와 같은 메소드를 사용 하여이 컨텍스트를 변경할 수 있습니다. 이 방법은 주어진이 값과 매개 변수를 사용하여 함수를 호출합니다. JavaScript는 훌륭한 프로그래밍 언어입니다. 몇 년 전,이 문장은있었습니다
핫 AI 도구
Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱
AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.
Undress AI Tool
무료로 이미지를 벗다
Clothoff.io
AI 옷 제거제
AI Hentai Generator
AI Hentai를 무료로 생성하십시오.
인기 기사
뜨거운 도구
안전한 시험 브라우저
안전한 시험 브라우저는 온라인 시험을 안전하게 치르기 위한 보안 브라우저 환경입니다. 이 소프트웨어는 모든 컴퓨터를 안전한 워크스테이션으로 바꿔줍니다. 이는 모든 유틸리티에 대한 액세스를 제어하고 학생들이 승인되지 않은 리소스를 사용하는 것을 방지합니다.
DVWA
DVWA(Damn Vulnerable Web App)는 매우 취약한 PHP/MySQL 웹 애플리케이션입니다. 주요 목표는 보안 전문가가 법적 환경에서 자신의 기술과 도구를 테스트하고, 웹 개발자가 웹 응용 프로그램 보안 프로세스를 더 잘 이해할 수 있도록 돕고, 교사/학생이 교실 환경 웹 응용 프로그램에서 가르치고 배울 수 있도록 돕는 것입니다. 보안. DVWA의 목표는 다양한 난이도의 간단하고 간단한 인터페이스를 통해 가장 일반적인 웹 취약점 중 일부를 연습하는 것입니다. 이 소프트웨어는
SublimeText3 영어 버전
권장 사항: Win 버전, 코드 프롬프트 지원!
에디트플러스 중국어 크랙 버전
작은 크기, 구문 강조, 코드 프롬프트 기능을 지원하지 않음
SublimeText3 Linux 새 버전
SublimeText3 Linux 최신 버전
