[ Node.js 숙련주차1 (1-0)] JWT(Json Web Token)

[ Node.js 숙련주차1 (1-0)] JWT(Json Web Token)

2023. 9. 11. 14:32ㆍ3. Node.js

JWT(Json Web Token)

JWT(Json Web Token)은 웹 표준으로써, 서버와 클라이언트 사이에서 정보를 안전하게 전송하기 위해 도움을 주는 웹 토큰(Web Token)이다.

JSON 형태의 데이터를 안전하게 전송하고 검증할 수 있는 기능을 제공.

인터넷 표준으로서 자리 잡은 규격이다.

다양한 암호화 알고리즘을 사용할 수 있어, 신뢰성을 보장한다.

header/ payload/ signature의 형식으로 3가지의 데이터를 포함한다. (개미처럼 머리, 가슴, 배)

추가로 특징을 더 알아보자면,

1) JWT는 비밀 키를 모르더라도 복호화(Decode)가 가능하다.

JWT를 가진 사람이라면 누구나 해당 토큰에 어떤 데이터가 담겨있는지 확인할 수 있다.

변조만 불가능 할 뿐, 누구나 복호화하여 보는 것은 가능하다는 의미가 된다.

2) 민감한 정보(개인정보, 비밀번호 등)는 담지 않도록 해야 한다.

JWT의 페이로드는 누구나 복호화하여 볼 수 있기 때문이다.

3) JavaScript와 같이 특정 언어에서만 사용 가능한 것은 아니다.

JWT는 단순히 데이터 형식일 뿐, 단지 개념으로서 존재하고, 이 개념을 코드로 구현하여 공개된 코드를 우리가 사용하는 게 일반적이다.

[ JWT사용방법 ]

1) jsonwebtoken 오픈라이브러리를 이용해서 JWT를 이용한다.

# yarn을 이용해 프로젝트를 초기화합니다.
yarn init -y

# jsonwebtoken, express 라이브러리를 설치합니다.
yarn add jsonwebtoken express

* 이때, yarn을 이용해 생성된 package.json 파일에서 type을 module로 꼭! 변경해아한다.

2) JSON 데이터를 암호화한다.

jsonwebtoken 라이브러리의 sign 메서드를 사용해 JWT를 생성한다.

import jwt from 'jsonwebtoken';

const token = jwt.sign({ myPayloadData: 1234 }, 'mysecretkey');
console.log(token); // eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJteVBheWxvYWREYXRhIjoxMjM0LCJpYXQiOjE2OTA4NzM4ODV9.YUmYY9aef9HOO8f2d6Umh2gtWRXJjDkzjm5FPhsQEA0

* sign 메서드는 첫 번째 인자로 Payload 데이터를, 두 번째 인자로 비밀 키를 받아 JWT를 생성한다.

→ 여기서, Payload는 문자열뿐만 아니라, 객체도 할당할 수 있다.

3) 복호화해보기
- jsonwebtoken 라이브러리의 decode 메서드를 사용해 JWT를 복호화한다.

import jwt from 'jsonwebtoken';

const token = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJteVBheWxvYWREYXRhIjoxMjM0LCJpYXQiOjE2OTA4NzM4ODV9.YUmYY9aef9HOO8f2d6Umh2gtWRXJjDkzjm5FPhsQEA0";
const decodedValue = jwt.decode(token);

console.log(decodedValue); // { myPayloadData: 1234, iat: 1690873885 }

- jsonwebtoken 라이브러리의 verify 메서드를 사용해 JWT를 검증이 가능하다.

import jwt from 'jsonwebtoken';

const token = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJteVBheWxvYWREYXRhIjoxMjM0LCJpYXQiOjE2OTA4NzM4ODV9.YUmYY9aef9HOO8f2d6Umh2gtWRXJjDkzjm5FPhsQEA0";
const decodedValueByVerify = jwt.verify(token, "mysecretkey");

console.log(decodedValueByVerify); // { myPayloadData: 1234, iat: 1690873885 }

* JWT가 변조되지 않았고, 올바른 비밀 키로 서명되었는지를 검증. 검증에 실패하면 에러가 발생한다.

import jwt from 'jsonwebtoken';

const token = "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJteVBheWxvYWREYXRhIjoxMjM0LCJpYXQiOjE2OTA4NzM4ODV9.YUmYY9aef9HOO8f2d6Umh2gtWRXJjDkzjm5FPhsQEA0";
const decodedValueByVerify = jwt.verify(token, "secretkey");

console.log(decodedValueByVerify);

// JsonWebTokenError: invalid signature

* 잘못된 비밀키 (mysecretkey를 secretkey로 변경해서) 실행. 위와 같은 에러가 발생하게 되어, 검증에 실패했다는 것을 확인할 수 있다.

[ JWT를 적용한 로그인 API 예시 ]

import express from 'express';
import JWT from 'jsonwebtoken';

const app = express();

app.post('/login', (req, res) => {
  // 사용자 정보
  const user = {
    userId: 203,
    email: 'archepro84@gmail.com',
    name: '이이름',
  };


// *** userJWT를 변수로 선언한다.  JWT.sign이라는 명령어를 통해 
// 위의 사용자정보를 payload에넣어줌

  // 사용자 정보를 JWT로 생성
  const userJWT = JWT.sign(
    user, // user 변수의 데이터를 payload에 할당
    'secretOrPrivateKey', // JWT의 비밀키를 secretOrPrivateKey라는 문자열로 할당
    { expiresIn: '1h' }, // JWT의 인증 만료시간을 1시간으로 설정
  );

  // userJWT 변수를 sparta 라는 이름을 가진 쿠키에 Bearer 토큰 형식으로 할당
// *** bearer은 토큰을 전달하는 하나의 형식이다! 
  res.cookie('sparta', `Bearer ${userJWT}`);
  return res.status(200).end();
});

app.listen(5002, () => {
  console.log(5002, '번호로 서버가 켜졌어요!');
});

저작자표시 (새창열림)

'3. Node.js' 카테고리의 다른 글

[ Node.js 숙련주차1 (1-0)] noSQL vs SQL (0)	2023.09.11
[ Node.js 숙련주차1 (1-0)] ORM과 Prisma (0)	2023.09.10
[ Node.js 숙련주차1 (1-13)] Prisma 게시판 사이트 설계 ( 외래키, 데이터베이스 관계 ) (1)	2023.09.06
[ Node.js 숙련주차1 (1-9)] 쿠키와 세션 (0)	2023.09.05
[ Node.js 숙련주차1 (1-3)] SQL (Structured Query Language) 살펴보기 (0)	2023.09.03

📁

📁

태그

최근글

댓글

공지사항

아카이브

'3. Node.js' 카테고리의 다른 글

관련글

티스토리툴바