node.js와 함께 JSON 웹 토큰 사용

API 인증은 API를 구축 할 때 가장 큰 과제 중 하나이며 API의 가장 큰 보안 취약점 중 하나입니다. 올바른 인증 메커니즘은 보안 위협을 피하고 승인 된 사용자 만 필요한 데이터에 액세스 할 수 있도록합니다.

인증은 서버 측 애플리케이션을 처리 할 때 한 번 간단했습니다. 서버의 간단한 세션 확인으로 작업에 대한 사용자 권한을 보장하기에 충분합니다. 그러나 API의 출현은 이러한 인증 문제에 중대한 변화를 가져 왔습니다.

그러나 API의 경우 세션을 구현할 수 없습니다. API가 항상 웹 브라우저를 사용하여 호출되도록 보장 할 수 없으므로 API를 보호하기 위해 쿠키에 의존 할 수 없습니다. API의 주요 특징 중 하나는 무국적자입니다. 이는 API에 전송 된 모든 요청이 이전 또는 후속 요청에 의존하지 않음을 의미합니다. 따라서 확인 요청에 필요한 인증/승인 정보를 전달하는 방법이 필요합니다.

효과적인 API 인증 기술은 JSON Web Token (JWT)을 사용하는 것입니다. 이 기사에서는 JWT의 세부 사항을 파고 Node.js, JWT를 보안 조치로 사용하여 나머지 API를 구현하는 방법에 대한 포괄적 인 안내서를 제공합니다.

키 포인트

안전한 커뮤니케이션을 보장하기 위해 JWT를 구현하십시오. 이 기사는 웹 애플리케이션에서 인증을 위해 JWT 구현에 대한 심층적 인 안내서를 제공합니다. 여기에는 토큰 생성, 전송 및 검증이 포함됩니다. 이를 수행하면 액세스 제어를 방지하고 승인 된 직원 만 액세스 할 수 있도록하여 전반적인 API 보안이 향상됩니다.

JWT의 역할 기반 액세스 제어. 이 기사는 특정 API 엔드 포인트가 특정 역할 액세스로 제한되는 역할 기반 액세스 제어의 개요를 보여줍니다. 예를 들어, 관리자는 모든 사용자를 볼 수 있지만 클라이언트는 할 수 없습니다. 이 기사는 JWT 토큰의 사용자 정의 선언을 관리하여이를 수행합니다.

나머지 API에서 JWT를 구현하십시오. 이 기사는 node.js, express 및 jsonwebtoken 라이브러리를 사용하여 JWT 인증을위한 간단한 REST API를 구축하기위한 단계별 접근법을 제공합니다. 여기에는 프로젝트 설정, 필요한 라이브러리 설치, 기본 사용자 데이터베이스 작성 및 로그인 및 사용자 데이터 엔드 포인트 구현이 포함됩니다. 이 프로세스에는 사용자가 로그인 할 때 토큰을 생성하고 사용자의 역할에 따라 액세스를 승인하거나 거부하라는 후속 요청 에서이 토큰을 확인합니다.

JSON 웹 토큰 (JWT)이란 무엇입니까?

JSON Web Token (JWT)은 두 당사자 (클라이언트 및 서버) 사이의 JSON 객체 형태로 정보를 전송하는 방법을 정의하는 개방 표준 (RFC 7519)입니다. 두 당사자간에 전송되는 정보는 개인 서명을 사용하여 디지털 서명에 서명합니다. 따라서 이것은 검증되는 것으로 간주되며 데이터는 안전하게 사용할 수 있습니다.
1. 참고 : 일반적으로 JWT는 API에 대한 인증 및 승인 프로세스를 구축하는 데 사용됩니다. 예를 들어 사용자를 요청과 연결하는 데 사용할 수있는 정보는 일반적으로 JWT에 포함됩니다. 여기에는 사용자 ID 및 역할이 포함될 수 있으며 API는이 정보를 사용하여 요청을 보내는 사용자가 그렇게 할 권한이 있는지 확인할 수 있습니다.

   언제 JWT를 사용해야합니까? JWT 토큰 사용을 고려해야 할 두 가지 주요 상황이 있습니다.

   인증/승인. 이것은 JWT에서 가장 널리 받아 들여지는 사용 사례 중 하나입니다. 인증 토큰을 구축하여 API에서 요청을 확인하고 승인 된 사용자가 인증 작업을 수행하고 있는지 확인할 수 있습니다.

   정보 교환. 당신은 또한 JWT를 사용하여 두 당사자들 사이에서 정보를 안전하게 교환 할 수 있습니다. JWT에 서명 할 수 있기 때문에 유효하고 허용 가능한 데이터 형태의 데이터 역할을합니다. 예를 들어, 공개/개인 키 쌍을 사용하면 발신자가 자신이 부르는 사람인지 확인할 수 있습니다. 이를 통해 정보가 조작되지 않았는지 확인하기 위해 추가 점검을 수행 할 수 있습니다.
   1. jwt 토큰의 구조
   모든 함수를 구현하기 위해 JWT 토큰의 구조는 구체적입니다. 세 가지 주요 구성 요소가 있습니다 :
   2. 헤더.
   헤더에는 HMAC SHA256 또는 RSA와 같은 토큰 유형 JWT와 사용 된 시그니처 알고리즘의 두 부분이 포함되어 있습니다.

   페이로드. 페이로드에는 귀하의 진술이 포함되어 있습니다. 성명서는 토큰을 발행하는 엔티티를 설명하는 정보입니다. 예를 들어, 사용자에게 토큰을 발행하면 사용자 ID 및 역할과 같은 진술이 있습니다. 또한 JWT 토큰은 발행자, 문제 시간, 만료 시간 등과 같은 일련의 표준 진술 세트도 있습니다. 서명. 이것은 당신이 만들어야 할 것입니다. 서명을 만들려면 인코딩 된 헤더, 인코딩 된 페이로드, 키 및 헤더에 지정된 알고리즘을 가져 와서 서명해야합니다. 전송 중에 메시지가 변경되지 않도록하기 위해 수행됩니다.

   참고 : JWT 토큰은 각각

   로 분리 된이 세 가지 구성 요소를 포함하는 간단한 Base64 문자열입니다.
   예를 들어, 간단한 토큰은 다음과 같이 보일 수 있습니다.
   1. 또한 디코딩 토큰이 아래에서 보일 수 있습니다.
   보시다시피 헤더, 페이로드 및 서명이 디코딩되어 표시됩니다.
   2. JWT 프로세스 이제 JWT를 사용하여 API를 구축하면 다음을 고려해야합니다.
   로그인 토큰 생성 토큰 검증
   3. 이것은 다음 그림에 표시된 것과 유사 할 수 있습니다.
   사용자가 처음으로 API에 로그인하라는 요청을 제출할 때 루프가 시작됩니다. 사용자 이름과 비밀번호를 제공합니다. API는 자격 증명이 유효한지 확인하고 그렇다면 사용자를 위해 JWT 토큰을 생성합니다.

   다음으로, 사용자는 요청 헤더 - 권한 부여에 토큰을 포함시킬 때마다 소지자 토큰으로 토큰을 포함시킵니다. API는 모든 요청에 ​​대한 요청 헤더를보고 해독하고 요청을 승인 할 토큰을 확인해야합니다. JWT를 사용할 때이 절차를 따르십시오. 헤더에 JWT 토큰이 없으면 API는 요청을 거부합니다. .

   jwt 로 REST API를 빌드하십시오 JWT 인증으로 API를 구축하는 것이 보이는 것보다 쉽습니다. 간단한 API 방법을 통해 토큰 생성 및 검증 프로세스를 처리하는 라이브러리가 많이 있습니다. 따라서 JWT 인증을 사용하여 간단한 REST API를 구축해 봅시다. 이렇게하려면 다음 명령으로 프로젝트를 부팅하여 시작하겠습니다.

   참고 : 기본 구성을 계속 사용해야합니다.

   다음, 우리가 사용중인 JWT 라이브러리를 설치합시다. JSONWEBTOKE 라이브러리를 사용하여 JWT 토큰을 만들고 관리합시다.

   참고 :이 라이브러리는 자주 GitHub에서 유지되며 주당 1400 만 개 이상의 다운로드가 있기 때문에이 라이브러리를 선택했습니다.

   따라서 다음 명령을 사용하여 라이브러리를 설치하십시오.

   다음, API를 구축하려면 Express를 설치합시다. 이렇게하려면 다음 명령을 실행하십시오

   다음, 파일을 만들어 봅시다. 우리는 여기서 JWT에 엄격히 집중하고 있기 때문에 데이터베이스를 시작하지 않고 사용자 코드 내에서 데이터베이스를 유지합니다. 따라서 파일을 열고 다음 코드를 포함시킵니다.

   <code>header.payload.signature</code>

   보시다시피, 우리는 API에 액세스 할 수있는 사용자 목록을 정의합니다.

   참고 : 제작 환경에서이를 구축하는 경우 Amazon Cognito와 같은 서비스를 사용하여 사용자를 관리하거나 해싱을 사용하여 암호를 저장하는 것이 좋습니다. 다음, API를 정의하기 위해

   파일을 만듭니다. 파일을 열고 다음 코드를 포함시킵니다. 환경. 다음은 주요 부분에 대한 수정을위한 것입니다 index.js (주요 부품에 대한 권장 제안) :

   우선, 안전한

   를 정의하고 코드에서 하드 코딩하지 않아야하지만 환경 변수에서 읽어야합니다.

   그러면 로그인 엔드 포인트가 다음과 같아야합니다.

   데이터베이스 디자인 :

   실제 애플리케이션에는 사용자 데이터를 저장하려면 실제 데이터베이스 (예 : MongoDB, PostgreSQL)가 필요하며 비밀번호는 일반 텍스트로 저장되지 않고 해시되어야합니다.

   오류 처리 :

   <code class="language-bash">npm init</code>

   데이터베이스 오류 처리, JWT 확인 오류 등과 같은 더 완전한 오류 처리 메커니즘이 필요합니다.

   안전 :

   기억하십시오.이 예는 단순한 데모 일 뿐이며 생산 환경에 적합하지 않습니다. 생산 환경에서는 다음과 같은 엄격한 안전 조치를 취해야합니다.
   더 강한 암호화 알고리즘을 사용하십시오.
   • https를 사용하십시오.
   더 미세한 세분화 액세스 제어를 구현하십시오.
   • 키를 정기적으로 회전시킵니다.
   보다 안전한 암호 해싱 알고리즘 (예 : BCrypt)을 사용하십시오.
   • 무차별 인력 균열을 방지하기 위해 속도 제한을 사용하십시오.
   • 나머지 부품 (검증 미들웨어 및 라우팅 보호)은 수정 된 로그인 엔드 포인트 및 데이터베이스 구조에 따라 그에 따라 조정해야합니다. 항상 보안 우선 순위를 정하고 잘 테스트하고 유지 관리 된 라이브러리를 사용해야합니다.
   요약
   이 기사는 JWT를 사용하여 보안 REST API를 구축하는 방법에 대한 개요를 간단히 제공합니다. 그러나 프로덕션 환경에 배포하려면 보안을 신중하게 고려하고보다 강력한 데이터베이스 및 오류 처리 메커니즘을 사용해야합니다. 보안은 지속적인 개선 및 업데이트가 필요한 지속적인 프로세스입니다.
   • FAQS (FAQS) (원래 텍스트의 긴 FAQ 섹션은 위에서 제공 한 수정 제안이 반복되므로 여기서 생략)

위 내용은 node.js와 함께 JSON 웹 토큰 사용의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!