[Spring] 세션 기반 인증과 다른 JWT의 동작 원리

📌 JWT(Json Web Token) 특징과 주의 사항

JWT(Json Web Token)는 JSON 형식을 기반으로 안전하게 전송하기 위해 사용되는 클레임 기반 토큰이다.
주로 인증(Authentication)과 인가(Authorization) 과정에서 활용되며, 서버가 상태를 저장하지 않는 Stateless 인증 방식을 제공한다.
구조는 Header, Payload, Signature 세 부분으로 나뉘며, 서명(Signature)을 통해 변조 여부를 검증할 수 있다.

 

✅ 주요 개념 정리

구분	설명
Header	토큰의 타입(JWT)과 해싱 알고리즘(HS256, RS256 등)을 명시
Payload	사용자 정보, 권한, 만료 시간(exp) 등 클레임(Claims) 포함
Signature	Header + Payload를 비밀키로 서명하여 변조 여부 검증
클레임(Claims)	토큰에 담긴 정보 단위. 등록된 클레임(iss, sub, exp 등)과 커스텀 클레임으로 구분

 

💡 JWT 특징

1. Stateless 인증

• 서버가 세션을 저장하지 않으므로 확장성과 서버 이중화 환경에 적합
• 세션 불일치 문제가 발생하지 않는다.

2. 자체 포함 (Self-contained)

• 토큰에 필요한 정보(사용자, 권한 등)를 포함하고 있어 DB 조회 없이 인가 가능

3. 구조적 단순성

• Base64URL 인코딩 된 문자열로, HTTP 헤더나 URL 쿼리스트링에 쉽게 담아 전송 가능

4. 범용성

• OAuth2, OpenID Connect 등 다양한 인증 표준에서 활용

 

⚠️ JWT 사용 시 주의 사항

항목	설명
민감 정보 저장 금지	Payload는 Base64 디코딩으로 누구나 볼 수 있으므로 비밀번호, 주민번호 등 민감한 정보는 담지 않아야 한다.
시크릿 키 관리	충분히 복잡한 키를 사용하고, 안전한 키 관리 전략(KMS, Vault 등)을 적용해야 한다.
토큰 탈취 위험	XSS, CSRF, 로컬 스토리지 저장 시 탈취 위험 → HttpOnly Cookie, Refresh Token Rotation 고려
만료 시간 설정	토큰이 너무 빨리 만료되면 UX 저하, 너무 길면 보안 취약 → Sliding Session 전략 활용 가능
None 알고리즘 공격	alg:none 취약점 악용 방지 → 라이브러리 선택 시 검증 필요
토큰 크기 문제	JWT는 길이가 길어질 수 있어 네트워크 비용 증가 → 불필요한 데이터는 최소화
Revocation 불가	한 번 발급된 토큰은 만료 전까지 무효화 어렵기 때문에, 블랙리스트/화이트리스트나 Redis 캐시 활용 필요

 

 

🧪 예시 (JWT 구조)

eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9   // Header
.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkhvbmcgR2lsZG9uZyIsImlhdCI6MTUxNjIzOTAyMn0 // Payload
.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c   // Signature

 

🧠 요약

• JWT는 클레임 기반 토큰으로 인증/인가에 널리 사용
• 장점: Stateless, 자체 포함, 확장성
• 단점: 탈취 위험, 민감 정보 저장 불가, 만료 전 강제 폐기 어려움
• 보안 강화를 위해 짧은 Access Token + Refresh Token + 안전한 키 관리 전략이 필요