JSON 웹 토큰(JWT): 널리 사용되는 교차 도메인 인증 솔루션
이 글에서는 현재 가장 인기 있는 크로스 도메인 인증 솔루션인 JWT(JSON Web Token)의 원리와 사용법을 소개합니다.
1. 교차 도메인 인증의 과제
인터넷 서비스는 사용자 인증과 불가분의 관계입니다. 전통적인 프로세스는 다음과 같습니다.
- 사용자는 사용자 이름과 비밀번호를 서버로 보냅니다.
- 서버 인증이 성공하면 사용자 역할, 로그인 시간 및 기타 관련 데이터가 현재 세션에 저장됩니다.
- 서버는 사용자에게 session_id를 반환하고 이를 사용자의 쿠키에 씁니다.
- 사용자가 이후에 요청할 때마다 쿠키를 통해 session_id를 서버로 다시 보냅니다.
- 서버는 session_id를 받은 후 미리 저장된 데이터를 찾아 사용자를 식별합니다.
이 모델은 확장성이 좋지 않습니다. 단일 시스템 환경은 괜찮지만 서버 클러스터 또는 크로스 도메인 서비스 지향 아키텍처에서는 세션 데이터 공유가 필요하며 각 서버는 세션을 읽을 수 있습니다. 예를 들어, A사이트와 B사이트는 동일한 회사의 관련 서비스입니다. 사용자가 한 사이트에 로그인한 후 다른 사이트를 방문하면 자동으로 로그인됩니다. 한 가지 해결 방법은 세션 데이터를 유지하고 이를 데이터베이스나 다른 지속성 계층에 쓴 다음 각 서비스가 요청을 받은 후 지속성 계층에서 데이터를 요청하는 것입니다. 이 솔루션은 명확한 아키텍처를 가지고 있지만 작업 부하가 크고 지속성 계층 오류로 인해 단일 오류 지점이 발생합니다. 또 다른 옵션은 서버가 세션 데이터를 전혀 저장하지 않고 모든 데이터가 클라이언트에 저장되고 모든 요청과 함께 서버로 다시 전송된다는 것입니다. JWT는 이러한 접근 방식을 나타냅니다.
2. JWT의 원리
JWT의 원칙은 서버가 확인 후 JSON 개체를 생성하여 사용자에게 반환하는 것입니다. 예:
{"name": "Alice", "role": "admin", "expiration time": "2024年7月1日0:00"}
나중에 사용자가 서버와 통신할 때 이 JSON 객체를 반환해야 하며, 서버는 이 객체를 기반으로 사용자의 신원을 완전히 판단합니다. 사용자가 데이터를 조작하는 것을 방지하기 위해 서버는 이 개체를 생성할 때 서명을 추가합니다(자세한 내용은 나중에 설명). 서버는 더 이상 세션 데이터를 저장하지 않습니다. 즉, 서버는 상태 비저장 상태가 되고 확장하기가 더 쉬워집니다.
3. JWT 데이터 구조
실제 JWT는 다음과 같습니다.
점(.)으로 세 부분으로 구분된 긴 문자열입니다. JWT 내부에는 줄 바꿈이 없습니다. 여기서 줄 바꿈은 단지 표시하기 쉽도록 하기 위한 것입니다. JWT의 세 부분은 다음과 같습니다.
- 헤더
- 페이로드
- 서명
한 줄은 Header.Payload.Signature로 표현됩니다
아래 세 부분을 소개합니다.
3.1 헤더
헤더 부분은 JWT의 메타데이터를 설명하는 JSON 개체이며 일반적으로 다음과 같습니다.
{"alg": "HS256", "typ": "JWT"}
alg 속성은 서명 알고리즘을 나타내며 기본값은 HMAC SHA256(HS256)입니다. typ 속성은 이 토큰의 유형을 나타내며 JWT 토큰은 JWT로 균일하게 작성됩니다. 이 JSON 개체는 궁극적으로 Base64URL 알고리즘을 사용하여 문자열로 변환됩니다(자세한 내용은 아래 참조).
3.2 페이로드
페이로드 부분은 전송해야 하는 실제 데이터를 저장하는 데 사용되는 JSON 개체이기도 합니다. JWT는 7개의 공식 선택 필드를 정의합니다.
- iss(발행자): 발행자
- exp(만료 시간): 만료 시간
- sub(제목): 제목
- audi(청중):청중
- nbf(Not Before): 유효 시간
- iat(발급지):발급시간
- jti(JWT ID): 일련번호
공식 필드 외에도 비공개 필드도 맞춤 설정할 수 있습니다. 예:
{"name": "Alice", "role": "admin", "expiration time": "2024年7月1日0:00"}
JWT는 기본적으로 암호화되지 않으며 누구나 읽을 수 있으므로 이 섹션에 비밀 정보를 입력하지 마세요. 이 JSON 개체도 Base64URL 알고리즘을 사용하여 문자열로 변환해야 합니다.
3.3 시그니처
서명 부분은 데이터 변조를 방지하기 위해 사용되는 처음 두 부분의 서명입니다. 먼저 비밀을 지정해야 합니다. 이 비밀은 서버에서만 알 수 있으며 사용자에게 유출될 수 없습니다. 그런 다음 헤더에 지정된 서명 알고리즘(기본값은 HMAC SHA256)을 사용하여 다음 공식에 따라 서명을 생성합니다.
{"alg": "HS256", "typ": "JWT"}
서명을 계산한 후 Header, Payload, Signature 세 부분이 문자열로 결합되고 각 부분은 "점"(.)으로 구분되어 사용자에게 반환될 수 있습니다.
3.4 Base64URL
앞서 언급했듯이 Header와 Payload의 직렬화 알고리즘은 Base64URL입니다. 이 알고리즘은 기본적으로 Base64 알고리즘과 유사하지만 약간의 차이점이 있습니다. 토큰으로서 JWT는 때때로 URL(예: api.example.com/?token=xxx)에 배치될 수 있습니다. Base64의 세 문자인 / 및 =는 URL에서 특별한 의미를 가지므로 바꿔야 합니다. 생략되어 -로 대체되고, /는 _로 대체됩니다. 이것은 Base64URL 알고리즘입니다.
4. JWT 사용 방법
클라이언트는 서버에서 반환된 JWT를 받은 후 이를 Cookie 또는 localStorage에 저장할 수 있습니다. 클라이언트는 서버와 통신할 때마다 이 JWT를 전달해야 합니다. 쿠키에 저장되어 자동으로 전송될 수 있지만 도메인 전체에 걸쳐 전송될 수는 없습니다. 더 나은 접근 방식은 HTTP 요청 헤더의 Authorization 필드에 이를 넣는 것입니다.
권한: 무기명
또 다른 접근 방식은 도메인을 교차할 때 POST 요청 본문에 JWT를 넣는 것입니다.
5. JWT의 여러 특징
(1) JWT는 기본적으로 암호화되지 않지만 암호화할 수 있습니다. 원본 토큰이 생성된 후 키를 사용하여 다시 암호화할 수 있습니다.
(2) JWT가 암호화되지 않으면 비밀 데이터를 쓸 수 없습니다.
(3) JWT는 신원 확인뿐만 아니라 정보 교환에도 사용될 수 있습니다. JWT를 효과적으로 사용하면 서버가 데이터베이스를 쿼리하는 횟수를 줄일 수 있습니다.
(4) JWT의 가장 큰 단점은 서버가 세션 상태를 저장하지 않으며 사용 중에 토큰을 취소하거나 토큰의 권한을 변경할 수 없다는 것입니다. 즉, JWT가 발행되면 서버가 추가 로직을 배포하지 않는 한 만료될 때까지 유효합니다.
(5) JWT 자체에는 인증 정보가 포함되어 있으며, 일단 유출되면 누구나 토큰에 대한 모든 권한을 얻을 수 있습니다. 도난을 줄이기 위해서는 JWT의 유효기간을 상대적으로 짧게 설정해야 합니다. 더 중요한 일부 권한의 경우 사용자는 해당 권한을 사용할 때 다시 인증해야 합니다.
(6) 도난을 줄이기 위해 JWT는 HTTP 프로토콜을 사용하여 일반 텍스트로 전송해서는 안 되며, HTTPS 프로토콜을 사용하여 전송해야 합니다.
Leapcell: 최고의 서버리스 웹 호스팅 플랫폼
마지막으로 웹 서비스 배포를 위한 최고의 플랫폼을 추천합니다: Leapcell
1. 다국어 지원
- JavaScript, Python, Go 또는 Rust로 개발하세요.
2. 무제한 프로젝트를 무료로 배포하세요
- 사용한 만큼만 비용을 지불하세요. 요청이나 수수료가 없습니다.
3. 비교할 수 없는 가성비
- 사용한 만큼 지불하고 유휴 수수료가 없습니다.
- 예: $25는 평균 응답 시간이 60ms인 694만 개의 요청을 지원합니다.
4. 단순화된 개발자 경험
- 직관적인 UI, 설정이 쉽습니다.
- 완전 자동화된 CI/CD 파이프라인 및 GitOps 통합.
- 실행 가능한 통찰력을 위한 실시간 지표 및 로깅.
5. 손쉬운 확장과 고성능
- 높은 동시성을 쉽게 처리할 수 있는 자동 확장.
- 운영 오버헤드가 없습니다. 구축에만 집중하세요.
문서에서 자세히 알아보세요!
Leapcell 트위터: https://www.php.cn/link/7884effb9452a6d7a7a79499ef854afd
위 내용은 JWT(JSON 웹 토큰) 마스터하기: 심층 분석의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
JavaScript가 C로 작성 되었습니까? 증거를 검토합니다Apr 25, 2025 am 12:15 AM예, JavaScript의 엔진 코어는 C로 작성되었습니다. 1) C 언어는 효율적인 성능과 기본 제어를 제공하며, 이는 JavaScript 엔진 개발에 적합합니다. 2) V8 엔진을 예를 들어, 핵심은 C로 작성되며 C의 효율성 및 객체 지향적 특성을 결합하여 C로 작성됩니다.
JavaScript의 역할 : 웹 대화식 및 역동적 인 웹Apr 24, 2025 am 12:12 AMJavaScript는 웹 페이지의 상호 작용과 역학을 향상시키기 때문에 현대 웹 사이트의 핵심입니다. 1) 페이지를 새로 고치지 않고 콘텐츠를 변경할 수 있습니다. 2) Domapi를 통해 웹 페이지 조작, 3) 애니메이션 및 드래그 앤 드롭과 같은 복잡한 대화식 효과를 지원합니다. 4) 성능 및 모범 사례를 최적화하여 사용자 경험을 향상시킵니다.
C 및 JavaScript : 연결이 설명되었습니다Apr 23, 2025 am 12:07 AMC 및 JavaScript는 WebAssembly를 통한 상호 운용성을 달성합니다. 1) C 코드는 WebAssembly 모듈로 컴파일되어 컴퓨팅 전력을 향상시키기 위해 JavaScript 환경에 도입됩니다. 2) 게임 개발에서 C는 물리 엔진 및 그래픽 렌더링을 처리하며 JavaScript는 게임 로직 및 사용자 인터페이스를 담당합니다.
웹 사이트에서 앱으로 : 다양한 JavaScript 애플리케이션Apr 22, 2025 am 12:02 AMJavaScript는 웹 사이트, 모바일 응용 프로그램, 데스크탑 응용 프로그램 및 서버 측 프로그래밍에서 널리 사용됩니다. 1) 웹 사이트 개발에서 JavaScript는 HTML 및 CSS와 함께 DOM을 운영하여 동적 효과를 달성하고 jQuery 및 React와 같은 프레임 워크를 지원합니다. 2) 반응 및 이온 성을 통해 JavaScript는 크로스 플랫폼 모바일 애플리케이션을 개발하는 데 사용됩니다. 3) 전자 프레임 워크를 사용하면 JavaScript가 데스크탑 애플리케이션을 구축 할 수 있습니다. 4) node.js는 JavaScript가 서버 측에서 실행되도록하고 동시 요청이 높은 높은 요청을 지원합니다.
Python vs. JavaScript : 사용 사례 및 응용 프로그램 비교Apr 21, 2025 am 12:01 AMPython은 데이터 과학 및 자동화에 더 적합한 반면 JavaScript는 프론트 엔드 및 풀 스택 개발에 더 적합합니다. 1. Python은 데이터 처리 및 모델링을 위해 Numpy 및 Pandas와 같은 라이브러리를 사용하여 데이터 과학 및 기계 학습에서 잘 수행됩니다. 2. 파이썬은 간결하고 자동화 및 스크립팅이 효율적입니다. 3. JavaScript는 프론트 엔드 개발에 없어서는 안될 것이며 동적 웹 페이지 및 단일 페이지 응용 프로그램을 구축하는 데 사용됩니다. 4. JavaScript는 Node.js를 통해 백엔드 개발에 역할을하며 전체 스택 개발을 지원합니다.
JavaScript 통역사 및 컴파일러에서 C/C의 역할Apr 20, 2025 am 12:01 AMC와 C는 주로 통역사와 JIT 컴파일러를 구현하는 데 사용되는 JavaScript 엔진에서 중요한 역할을합니다. 1) C는 JavaScript 소스 코드를 구문 분석하고 추상 구문 트리를 생성하는 데 사용됩니다. 2) C는 바이트 코드 생성 및 실행을 담당합니다. 3) C는 JIT 컴파일러를 구현하고 런타임에 핫스팟 코드를 최적화하고 컴파일하며 JavaScript의 실행 효율을 크게 향상시킵니다.
자바 스크립트 행동 : 실제 예제 및 프로젝트Apr 19, 2025 am 12:13 AM실제 세계에서 JavaScript의 응용 프로그램에는 프론트 엔드 및 백엔드 개발이 포함됩니다. 1) DOM 운영 및 이벤트 처리와 관련된 TODO 목록 응용 프로그램을 구축하여 프론트 엔드 애플리케이션을 표시합니다. 2) Node.js를 통해 RESTFULAPI를 구축하고 Express를 통해 백엔드 응용 프로그램을 시연하십시오.
JavaScript 및 웹 : 핵심 기능 및 사용 사례Apr 18, 2025 am 12:19 AM웹 개발에서 JavaScript의 주요 용도에는 클라이언트 상호 작용, 양식 검증 및 비동기 통신이 포함됩니다. 1) DOM 운영을 통한 동적 컨텐츠 업데이트 및 사용자 상호 작용; 2) 사용자가 사용자 경험을 향상시키기 위해 데이터를 제출하기 전에 클라이언트 확인이 수행됩니다. 3) 서버와의 진실한 통신은 Ajax 기술을 통해 달성됩니다.
핫 AI 도구
Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱
AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.
Undress AI Tool
무료로 이미지를 벗다
Clothoff.io
AI 옷 제거제
Video Face Swap
완전히 무료인 AI 얼굴 교환 도구를 사용하여 모든 비디오의 얼굴을 쉽게 바꾸세요!
인기 기사
뜨거운 도구
안전한 시험 브라우저
안전한 시험 브라우저는 온라인 시험을 안전하게 치르기 위한 보안 브라우저 환경입니다. 이 소프트웨어는 모든 컴퓨터를 안전한 워크스테이션으로 바꿔줍니다. 이는 모든 유틸리티에 대한 액세스를 제어하고 학생들이 승인되지 않은 리소스를 사용하는 것을 방지합니다.
PhpStorm 맥 버전
최신(2018.2.1) 전문 PHP 통합 개발 도구
MinGW - Windows용 미니멀리스트 GNU
이 프로젝트는 osdn.net/projects/mingw로 마이그레이션되는 중입니다. 계속해서 그곳에서 우리를 팔로우할 수 있습니다. MinGW: GCC(GNU Compiler Collection)의 기본 Windows 포트로, 기본 Windows 애플리케이션을 구축하기 위한 무료 배포 가능 가져오기 라이브러리 및 헤더 파일로 C99 기능을 지원하는 MSVC 런타임에 대한 확장이 포함되어 있습니다. 모든 MinGW 소프트웨어는 64비트 Windows 플랫폼에서 실행될 수 있습니다.
맨티스BT
Mantis는 제품 결함 추적을 돕기 위해 설계된 배포하기 쉬운 웹 기반 결함 추적 도구입니다. PHP, MySQL 및 웹 서버가 필요합니다. 데모 및 호스팅 서비스를 확인해 보세요.
VSCode Windows 64비트 다운로드
Microsoft에서 출시한 강력한 무료 IDE 편집기
