[19] JWT , 액세스토큰, 리프레시토큰에 대해서 설명해주세요

[hyeyoonS]

📎 질문

JWT , 액세스토큰, 리프레시토큰에 대해서 설명해주세요

✏ 구술 답변 키워드

JWT (JSON Web Token)

• 용도: 사용자 인증 및 정보 교환
• 구성: 헤더, 페이로드, 서명
• 장점: 무상태 인증, 확장성, 보안, 편리성
• 단점: 토큰 크기, 만료 및 폐기 관리, 보안 이슈

액세스 토큰 (Access Token)

• 용도: API 접근 권한 부여
• 특징: 단기 유효(몇 분~몇 시간)

리프레시 토큰 (Refresh Token)

• 용도: 새로운 액세스 토큰 발급
• 특징: 장기 유효(몇 주~몇 달)

✏ 서술 답변

✅ 함께 이해하면 좋을 배경지식

• 인증(Authentification): (쉽게 말해 로그인) 특정 서비스에 사용자 권한이 주어진 것을 아이디, 패스워드 등을 통해 인증을 받는 개념
• 인가(Authorization): 인증을 받은 사용자가 이후 서비스를 이용할 때, 인증 여부를 확인해서 관련 제한적 서비스(로그인한 계정만이 사용할 수 있는 서비스 범위) 권한을 허가해주는 것

-> 매번 로그인할 필요 없이 인가를 해줘야하는데 이때 사용하는 것이 세션 / 토큰

세션은 쿠키에 세션ID를 담아 클라이언트가 서버와 주고 받으며 인가 과정을 진행 -> 서버가 인증 상태를 유지해야 하므로 서버의 부담 존재(Stateful) -> 토큰 방식 등장(Stateless)

1. JWT (JSON Web Token)

JWT는 JSON 객체를 사용하여 클레임을 안전하게 전송하기 위한 컴팩트하고 URL-안전한 토큰입니다. JWT는 주로 사용자 인증 및 정보 교환에 사용됩니다. JWT는 세 부분으로 구성됩니다:

• 헤더(Header): 두 부분으로 구성됩니다. 토큰 유형과 서명 알고리즘.
• 페이로드(Payload): 클레임(claim)이라고 불리는 데이터가 포함됩니다. 클레임은 엔티티(주로 사용자)와 관련된 정보를 전달합니다.
• 서명(Signature): 헤더와 페이로드를 조합하고, 비밀 키나 공개/개인 키를 사용하여 서명을 생성합니다. 서명은 토큰의 무결성을 확인하고, 서명된 엔티티가 정보를 조작하지 않았음을 보장합니다.

JWT의 장점

• 무상태 인증(Stateless): 서버는 세션 정보를 유지할 필요 없이 클라이언트에서 JWT를 통해 인증 상태를 확인할 수 있습니다.
• 확장성: 중앙 집중식 세션 스토리지 없이 여러 서버나 서비스 간에 인증 정보를 쉽게 공유할 수 있습니다.
• 보안: 서명된 토큰을 사용하여 무결성을 보장하고, 필요한 경우 암호화를 통해 기밀성을 유지할 수 있습니다.
• 편리성: JSON 형식으로 데이터를 전송하므로, 다양한 프로그래밍 언어와 쉽게 호환됩니다.

JWT의 단점

• 토큰 크기: JWT는 비교적 크기가 커질 수 있으며, 이는 네트워크 대역폭을 사용합니다.
• 만료 및 폐기: JWT는 발급된 이후에는 서버에서 무효화할 수 없으므로, 토큰의 유효 기간을 신중히 설정해야 합니다.
• 보안 이슈: 민감한 정보를 페이로드에 포함시키지 않는 것이 중요하며, HTTPS를 통해 전송해야 합니다.

2. 액세스 토큰 (Access Token)

액세스 토큰은 사용자 인증 후 클라이언트가 API에 접근할 수 있도록 허용하는 토큰입니다. 액세스 토큰은 일반적으로 유효 기간이 짧아 짧은 시간 동안만 유효합니다. 이는 보안성을 높이기 위한 조치로, 만료 후에는 새로 발급받아야 합니다.

특징:

• 단기 유효: 보통 몇 분에서 몇 시간 정도 유효합니다.
• API 접근 권한: 이 토큰을 사용하여 서버의 보호된 자원에 접근할 수 있습니다.

3. 리프레시 토큰 (Refresh Token)

리프레시 토큰은 액세스 토큰의 유효 기간이 만료되었을 때, 새 액세스 토큰을 발급받기 위해 사용되는 토큰입니다. 리프레시 토큰은 보통 더 긴 유효 기간을 가지며, 액세스 토큰이 만료되었을 때 서버로부터 새로운 액세스 토큰을 요청할 수 있게 합니다.

특징:

• 장기 유효: 보통 몇 주에서 몇 달 동안 유효합니다.
• 재발급 기능: 새로운 액세스 토큰을 발급받을 수 있습니다.

요약

• JWT: JSON 형식의 웹 토큰으로 사용자 인증 및 정보 교환에 사용됩니다.
• 액세스 토큰: 단기 유효한 토큰으로, API 접근 권한을 부여합니다.
• 리프레시 토큰: 장기 유효한 토큰으로, 새로운 액세스 토큰을 발급받는 데 사용됩니다.

이 세 가지는 보안성과 사용자 경험을 높이기 위해 함께 사용됩니다. 액세스 토큰을 짧게 유지함으로써 보안성을 높이고, 리프레시 토큰을 사용하여 사용자가 재로그인할 필요 없이 지속적으로 서비스를 사용할 수 있도록 합니다.

[Nahyun-Kang]

JWT란?

• 유저의 신원이나 권한을 결정하고 정보를 담고 있는 데이터 조각이다. 즉, 인증에 필요한 정보들을 암호화시킨 JSON 토큰
• JWT는 Base64 URL-safe Encode를 통해 인코딩하여 직렬화한 것. 토큰 내부에는 위변조 방지를 위한 개인키를 통한 전자서명을 포함한다.
• 사용자가 JWT를 서버로 전송하면 서버는 서명을 검증하는 과정을 거치고 검증 완료되면 요청한 응답을 돌려준다.

Access Token

• 클라이언트가 갖고있는 실제 유저 정보가 담긴 토큰
• 클라이언트에서 요청이 오면 서버에서 해당 토큰에 있는 정보를 활용하여 사용자 정보에 맞게 응답을 진행

Refresh Token

• 새로운 Access Token을 발급해주기 위해 사용하는 토큰
• Access Token에게 새로운 토큰을 발급해주기 위해 사용

[olseul]

JWT (JSON Web Token) JWT는 JSON 객체를 사용하여 정보 또는 클레임을 안전하게 전송하기 위한 컴팩트하고 URL 안전한 방식입니다. JWT는 주로 인증 및 정보 교환에 사용됩니다.

액세스 토큰 (Access Token) 액세스 토큰은 사용자가 특정 리소스에 접근할 수 있는 권한을 부여받았음을 증명하는 토큰입니다. 일반적으로 짧은 수명을 가지고 있으며, 주로 API 요청 시 서버에 전송됩니다.

특징 유효 기간: 짧은 유효 기간을 가집니다 (예: 15분, 1시간). 용도: 클라이언트가 보호된 리소스에 접근할 때 서버에 제출됩니다. 보안: 유효 기간이 짧아 노출되어도 피해가 적습니다.

리프레시 토큰 (Refresh Token) 리프레시 토큰은 새로운 액세스 토큰을 발급받기 위해 사용되는 토큰입니다. 유효 기간이 더 길고, 더 높은 보안이 필요합니다.

특징 유효 기간: 긴 유효 기간을 가집니다 (예: 몇 주, 몇 달). 용도: 액세스 토큰이 만료되었을 때, 새로운 액세스 토큰을 얻기 위해 사용됩니다. 보안: 클라이언트 측에서 안전하게 저장되어야 합니다. 일반적으로 서버와 클라이언트 간의 비밀 저장소에 저장됩니다.

예시: JWT 기반 인증 흐름 사용자 로그인: 사용자가 로그인하면, 서버는 사용자의 자격 증명을 확인한 후 JWT 액세스 토큰과 리프레시 토큰을 발급합니다. API 요청: 클라이언트는 보호된 리소스에 접근할 때마다 액세스 토큰을 요청 헤더에 포함하여 서버에 전송합니다. 서버는 액세스 토큰을 검증하고, 유효하면 요청된 리소스를 제공합니다. 토큰 만료: 액세스 토큰이 만료되면, 클라이언트는 저장된 리프레시 토큰을 사용하여 새로운 액세스 토큰을 요청합니다. 서버는 리프레시 토큰을 검증하고, 유효하면 새로운 액세스 토큰을 발급합니다. 로그아웃: 사용자가 로그아웃하면, 서버는 리프레시 토큰을 폐기하여 더 이상 사용할 수 없게 합니다.

장점 보안성: 짧은 수명의 액세스 토큰을 사용하여 보안성을 높입니다. 성능: JWT는 서버의 세션 상태를 저장할 필요가 없어 서버 부하를 줄입니다. 유연성: 다양한 클라이언트(웹, 모바일 등)에서 동일한 방식으로 사용할 수 있습니다. 이와 같은 방식으로 JWT, 액세스 토큰, 리프레시 토큰을 사용하여 안전하고 효율적인 인증 시스템을 구현할 수 있습니다.

[hyeyoonS]

🤔JWT가 뭐지?

JWT는 토큰의 형식 중 하나입니다. 토큰 기반 인증 시스템에서 활용됩니다.

JWT와 토큰 기반 인증 어떻게 활용하지?

1. 사용자 인증: 로그인 시 JWT를 생성하여 클라이언트에 제공

   ⇒ 이 JWT를 액세스토큰으로 사용합니다.

2. API 요청 시 인증: 클라이언트가 보호된 리소스(ex. 미들웨어)에 접근할 때 JWT(액세스토큰) 를 사용하여 인증

3. JWT액세스 토큰이 만료된 경우: JWT리프레시 토큰 검증

   ⇒JTW리프레시 토큰을 사용하여 새로운 JWT액세스 토큰을 요청합니다.

   ⇒이 때 액세스토큰만 만료되고 리프레시토큰은 만료되지 않았다면, 리프레시 토큰을 이용해서 새로운 액세스토큰을 발급합니다. (로그인 유지)

4. 리프레시 토큰이 만료된 경우: 리프레시 토큰을 무효화하여 토큰의 재사용을 방지합니다. 사용자는 새로 사용자 인증을 해야합니다. (로그아웃)

[HaydenDevK]

JWT

개요

• JSON Web Token의 약자
• 클라이언트와 서버 간의 안전한 인증 및 정보 교환을 위해, 전자 서명된 URL-Safe (URL로 이용할 수있는 문자열로만 구성된)의 JSON Token
• 웹표준 (RFC 7519) 이다.
• 로그인 구현 시에 주로 사용된다.

장점

• 거의 표준이다.
• 서버에서 만들어 준 토큰은 서명이 있기 때문에 무결성이 보장된다. (정보가 변경되거나 위조되지 않았음을 의미하는 성질)
• 사용자 인증에 필요한 모든 정보는 토큰 자체에 포함하기 때문에 별도의 인증 저장소가 필요없다.

단점

• 구현 복잡도가 높다.
• 토큰에 담기는 내용이 커질수록 네트워크 비용이 증가한다.

  Access Token

• 사용자가 특정 자원에 접근할 권한을 가지고 있음을 나타내는 토큰
• 짧은 만료 시간 (일반적으로 n분 ~ n시간)

  Refresh Token

• Access Token이 만료되거나 무효화되었을 때, 새로운 토큰을 재발급하기 위한 토큰
• 상대적으로 긴 수명

[wise-Ag]

JWT

JWT는 Json Web Token의 약자로 일반적으로 클라이언트와 서버 사이에서 통신할 때 권한을 위해 사용하는 토큰입니다. Json형태로 생성한 암호화된 토큰으로, 복잡하고 읽을 수 없는 string 형태로 저장되어있습니다. JSON은 Key, Value가 한 쌍을 이루는 객체를 말합니다. 사용자에 대한 정보를 저장하고 있는 Claim 기반의 토큰입니다. Claim기반이란 사용자 정보를 토큰에 담고 있는 방식으로, 기존 session 인증 방식에서는 session id를 서버에 저장하고 검토하는 방식이었다면 Claim 방식은 토큰에 사용자 정보를 담고 있기 때문에 서버자원을 사용할 필요가 없습니다.

JWT는 헤더(header), 페이로드(payload), 서명(signature) 세 파트로 나눠져 있습니다.

• 헤더 (Header)
어떠한 알고리즘으로 암호화 할 것인지, 어떠한 토큰을 사용할 것 인지에 대한 정보가 들어있습니다.

• 정보 (Payload)
전달하려는 정보(사용자 정보)가 들어있습니다.
payload에 있는 내용은 수정이 가능하여 더 많은 정보를 추가할 수 있으나 노출과 수정이 가능한 지점이기 때문에 인증이 필요한 최소한의 정보만을 담아야합니다.

• 서명 (Signature)
 헤더와 정보를 합친 후 발급해준 서버가 지정한 secret key로 암호화 시켜 토큰을 변조하기 어렵게 만듭니다.
다른 누군가 payload의 정보를 조작하더라도 signature에는 조작하기 이전의 payload를 기반으로 암호화한 결과가 저장되어 있기 때문에 서버는 토큰이 조작되었는지 아닌지를 쉽게 알 수 있고, 다른 누군가는 조작된 토큰을 악용하기 어렵습니다.

jwt 토큰이 탈취당했을 때 취약점을 개선하기 위해 accessToken, refreshToken 을 두어 피해를 최소화할 수 있습니다.

엑세스 토큰

api 통신할 때 인증을 위한 짧은 유효기간의 토큰

리프레시 토큰

엑세스 토큰이 만료되었을 시 새롭게 발급하기 위한 토큰

[Eugene-A-01]

JWT (Json Web Token)이란, 웹통신에서 권한을 위해 사용하는 JSON형태의 암호화된 토큰이다. 주로 사용자의 신원과 권한 정보를 서버와 클라이언트가 주고 받기위해 사용한다.

JWT는

• 헤더(서명을 해싱한 알고리즘 종류, 토큰 타입)
• 페이로드(전달하려는 정보 : 토큰 제목, 토큰 발급일 만료일 등)
• 서명(헤더+페이로드를 서버의 시크릿키로 암호화시켜놓은 결과. 이 서명을 이용하여 페이로드가 조작되더라도 조작여부를 알 수 있다.) 으로 이루어져있다.

이런 JWT는

• 비밀키를 이용한 암호화를 통해 안전하게 유저의 신원 및 권한 정보를 주고받지만
• 이 토큰을 탈취당한다면 실제 클라이언트와 탈취한 주체를 구분할 수 없다는 큰 단점이 있다.

그래서 토큰의 유효기간을 두어 탈취 위험을 줄이고자 하였지만, 유효기간이 너무 짧다면 사용자로 하여금 잦은 로그인을 하게 하므로 불편해지고, 유효기간이 길다면 탈취위험이 높아진다는 점이 있다. 이걸 해결하기 위해 사용되는 것이 유효기간이 다른 두 JWT 토큰인 AccessToken과 Refresh Token이다.

액세스토큰의 유효기간이 더 짧고 리프레시토큰의 유효기간이 더 길다. API 통신을 할때는 액세스 토큰을 사용하고, 액세스 토큰이 만료되어 이를 갱신할때에 리프레시토큰을 사용한다.

구체적인 동작은 다음과 같다.

1. 클라이언트의 로그인 성공 -> 서버에서 액세스토큰+리프레시토큰 발급받아 로컬에 저장함.
2. 클라이언트는 이후 API 통신에 액세스토큰을 헤더에 넣어 통신
3. 시간 지나 액세스토큰 만료 -> 만료된 액세스토큰을 이용해 보낸 요청에 대한 응답으로 401(Unauthorized)를 받음
4. 헤더에 리프레시토큰을 대신 넣어 API 재요청
5. 서버는 응답쿼리 헤더에 새로운 액세스토큰을 넣어 응답함.
6. 만약 리프레시 토큰도 만료된 상태였다면 한 번 더 401에러. 클라이언트는 다시 로그인을 해야함.

액세스 토큰이 탈취된다면? JWT의 서명때문에 토큰 만료일은 악의적으로 변경할 수 없음. 짧은 생명을 가지는 액세스토큰은 탈취되더라도 얼마 사용하지 못하거나 이미 만료되어 금방 다시 탈취를 시도해야함.

리프레시 토큰이 탈취된다면? 통신이 빈번하지 않아 탈취 위험 가능성 자체가 낮음. 하지만 만료기간이 긴 리프레쉬 토큰이 탈취당하면 위험. 그래서 액세스토큰 만료되어 재요청할때마다 리프레쉬 토큰도 재발급 받는 Refresh Token Rotation 방법을 도입하여 만료기간을 줄이기도 함.