JSON 웹 토큰 (JWT) 개요

5414 단어 JWTopenid_connect
JSON Web Token (JWT) 개요 기사.

JWT란?


  • JSON Web Token의 약칭.
  • 속성 정보( Claim )를 JSON 데이터 구조로 표현한 토큰 사양을 가리킨다.

  • JWT의 구조



    이하의 예를 이용하여 설명한다.
    eyJ0eXAiOiJKV1QiLA0KICJhbGciOiJIUzI1NiJ9.eyJpc3MiOiJqb2UiLA0KICJleHAiOjEzMDA4MTkzODAsDQogImh0dHA6Ly9leGFtcGxlLmNvbS9pc19yb290Ijp0cnVlfQ.dBjftJeZ4CVP-mB92K27uhbUJU1p1r_wW1gFWFOEjXk
    
  • . 로 단락지어진 필드로부터 구성된다.
  • <ヘッダー(Header)部>.<ペイロード(Payload)部>.<署名(Signature)部>
  • 위를 JSON Web Signature (JWS) 형식이라고합니다.
  • 다섯 개의 필드를 가진 형식을 JSON Web Encryption (JWE)이라고합니다.
  • ヘッダー.キー.初期ベクター.暗号文.認証タグ
    



    헤더 부분


  • 서명 검증에 필요한 정보를 저장합니다.
  • JSON을 Base64URL로 인코딩한 문자열.
  • 위의 예는 다음 JSON을 인코딩합니다.
  •   {
           "typ":"JWT",
           "alg":"HS256"
      }
    
  • typ :JWT 형식의 캐릭터 라인인 것을 나타낸다.
  • alg : 서명 알고리즘을 나타낸다.

  • 페이로드 부분



  • 페이로드: 앱 간의 상호 작용에 필요한 속성 정보( Claim )
  • 미리 정의 된 클레임 ※ 자세한 내용은 RFC 참조




  • 클레임 이름
    설명

    iss발행자(issuer)를 식별하기 위한 식별자. 캐릭터 라인 or URI를 지정.
    sub사용자의 식별자. 데이터베이스의 사용자 테이블의 기본 키가 종종 지정됩니다.
    audJWT의 수신자의 식별자. 발행을 요청한 클라이언트 ID 등.
    expJWT 만료.
    nbfJWT가 활성화되는 날짜와 시간.
    iatJWT의 발행 일시.
    jtiJWT의 고유성을 보장하는 식별자.


  • Claim 를 JSON 형식으로 표현하고 Base64url 인코딩된 문자열. 위의 예는 다음 JSON을 인코딩합니다.
  •   {
        "iss": "joe",
        "exp": 1300819380,
        "http://example.com/is_root": true
      }
    

    서명부


  • 인코딩된 헤더, 마침표( . ), 인코딩된 페이로드를 연결한 값을 입력으로서 alg 의 서명 알고리즘으로 서명해, Base64url 인코딩하는 것으로 작성한 값.
  • 상기의 예의 경우, 이하의 값이 된다.
  •   dBjftJeZ4CVP-mB92K27uhbUJU1p1r_wW1gFWFOEjXk
    

    JWT 활용 사례



    OAuth 2.0 Client Authentication and Authorization Grants



    Authorization Grants


  • 액세스 토큰을 요청하는 데 사용됩니다.
  •   POST /token.oauth2 HTTP/1.1
      Host: as.example.com
      Content-Type: application/x-www-form-urlencoded
    
      grant_type=urn%3Aietf%3Aparams%3Aoauth%3Agrant-type%3Ajwt-bearer&
     assertion=eyJhbGciOiJFUzI1NiIsImtpZCI6IjE2In0.eyJpc3Mi[...omitted for brevity...].J9l-ZhwP[...omitted for brevity...]
    
  • grat_type : urn:ietf:params:oauth:grant-type:jwt-bearer 를 지정한다.
  • assertion :JWT를 지정한다.

  • Client Authentication


  • 클라이언트 인증을 할 때, ID/시크릿 대신에 이용한다.
  •   POST /token.oauth2 HTTP/1.1
      Host: as.example.com
      Content-Type: application/x-www-form-urlencoded
    
      grant_type=authorization_code&
      code=n0esc3NRze7LTCu7iYzS6a5acc3f0ogp4&
      client_assertion_type=urn%3Aietf%3Aparams%3Aoauth%3Aclient-assertion-type%3Ajwt-bearer&
      client_assertion=eyJhbGciOiJSUzI1NiIsImtpZCI6IjIyIn0.eyJpc3Mi[...omitted for brevity...].cC4hiUPo[...omitted for brevity...]
    
  • client_assertion_type : urn:ietf:params:oauth:client-assertion-type:jwt-bearer 를 지정한다.
  • client_assertion :JWT를 지정한다.

  • Open ID Connect ID Token


  • 사용자의 인증 결과로 발행하는 토큰
  • 사용자 인증, 사용자 속성에 관한 Claim를 저장한다.


  • 참고 정보


  • JSON 웹 토큰 (JWT)
  • JSON Web Token (JWT) 소개 및 Yahoo! JAPAN의 JWT 활용
  • ID 토큰을 알면 OpenID Connect를 알 수 있습니다.
  • 좋은 웹페이지 즐겨찾기