JWT 최신 기능 완벽 가이드

JWT(JSON Web Token)의 최신 기능과 보안 강화 방법을 알아봅니다. ES256 알고리즘, 토큰 갱신 전략, 보안 베스트 프랙티스를 실전 코드와 함께 학습합니다.

카테고리:JavaScript

언어:JavaScript

메인 태그:#JWT

서브 태그:

#Authentication#Security#TokenRefresh#ES256

들어가며

이 글에서는 JWT 최신 기능 완벽 가이드에 대해 상세히 알아보겠습니다. 총 8가지 주요 개념을 다루며, 각각의 개념에 대한 설명과 실제 코드 예제를 함께 제공합니다.

1. JWT 기본 생성 및 검증

개요

JWT를 생성하고 검증하는 기본 방법입니다. HS256 알고리즘을 사용하여 안전하게 토큰을 만들고 확인합니다.

코드 예제

const jwt = require('jsonwebtoken');

const payload = { userId: 123, role: 'admin' };
const secret = process.env.JWT_SECRET;

const token = jwt.sign(payload, secret, { expiresIn: '1h' });
const verified = jwt.verify(token, secret);

console.log(verified); // { userId: 123, role: 'admin' }

설명

sign 메서드로 페이로드를 암호화하여 토큰을 생성하고, verify 메서드로 토큰의 유효성을 검증합니다. expiresIn 옵션으로 만료 시간을 설정할 수 있습니다.

2. ES256 비대칭 암호화

개요

ES256(ECDSA) 알고리즘을 사용한 비대칭 키 암호화 방식입니다. 공개키와 개인키를 분리하여 보안성을 높입니다.

코드 예제

const { generateKeyPairSync } = require('crypto');

const { publicKey, privateKey } = generateKeyPairSync('ec', {
  namedCurve: 'prime256v1'
});

const token = jwt.sign({ data: 'secure' }, privateKey, {
  algorithm: 'ES256'
});
const decoded = jwt.verify(token, publicKey);

설명

개인키로 서명하고 공개키로 검증하는 방식으로, 개인키 노출 없이도 토큰 검증이 가능합니다. HS256보다 안전한 방식입니다.

3. Refresh Token 전략

개요

Access Token과 Refresh Token을 분리하여 보안성과 사용성을 모두 확보하는 전략입니다.

코드 예제

const generateTokens = (userId) => {
  const accessToken = jwt.sign({ userId }, secret, {
    expiresIn: '15m'
  });
  const refreshToken = jwt.sign({ userId }, refreshSecret, {
    expiresIn: '7d'
  });
  return { accessToken, refreshToken };
};

설명

짧은 유효기간의 Access Token과 긴 유효기간의 Refresh Token을 함께 발급합니다. Access Token 만료 시 Refresh Token으로 재발급받아 보안과 편의성을 동시에 확보합니다.

4. JWT Claims 활용

개요

JWT의 표준 클레임(claims)을 활용하여 토큰에 메타데이터를 추가합니다. iss, aud, nbf 등의 표준 필드를 사용합니다.

코드 예제

const token = jwt.sign(
  { userId: 123 },
  secret,
  {
    issuer: 'myapp.com',
    audience: 'api.myapp.com',
    notBefore: '5s',
    jwtid: 'unique-token-id'
  }
);

설명

issuer는 발급자, audience는 수신자, notBefore는 활성화 시점, jwtid는 토큰 고유 ID를 나타냅니다. 표준 클레임으로 토큰 관리가 체계적으로 가능합니다.

5. 토큰 블랙리스트 관리

개요

로그아웃된 토큰을 무효화하기 위해 블랙리스트를 관리하는 방법입니다. Redis를 활용하여 효율적으로 처리합니다.

코드 예제

const redis = require('redis');
const client = redis.createClient();

const blacklistToken = async (token) => {
  const decoded = jwt.decode(token);
  const ttl = decoded.exp - Math.floor(Date.now() / 1000);
  await client.setEx(`blacklist:${token}`, ttl, '1');
};

설명

로그아웃 시 토큰을 블랙리스트에 추가하고, 토큰 만료 시간만큼 TTL을 설정합니다. 토큰 검증 시 블랙리스트를 확인하여 무효화된 토큰을 거부합니다.

6. 토큰 페이로드 암호화

개요

민감한 정보를 페이로드에 담을 때 추가 암호화를 적용하는 방법입니다. JWE(JSON Web Encryption)를 활용합니다.

코드 예제

const { JWE } = require('node-jose');

const encrypt = async (payload, key) => {
  const encrypted = await JWE.createEncrypt({ format: 'compact' }, key)
    .update(JSON.stringify(payload))
    .final();
  return encrypted;
};

설명

JWT는 기본적으로 Base64 인코딩만 되어 있어 페이로드가 노출됩니다. JWE로 페이로드를 암호화하면 민감한 정보도 안전하게 전달할 수 있습니다.

7. 토큰 자동 갱신 미들웨어

개요

Express 미들웨어로 토큰 만료가 임박하면 자동으로 갱신하는 기능입니다.

코드 예제

const autoRefresh = (req, res, next) => {
  const token = req.headers.authorization?.split(' ')[1];
  const decoded = jwt.decode(token);
  const timeLeft = decoded.exp - Date.now() / 1000;

  if (timeLeft < 300) { // 5분 미만 남음
    const newToken = jwt.sign({ userId: decoded.userId }, secret);
    res.setHeader('X-New-Token', newToken);
  }
  next();
};

설명

토큰 만료 5분 전부터 새 토큰을 응답 헤더에 포함시켜 클라이언트가 자동으로 갱신할 수 있도록 합니다. 끊김 없는 사용자 경험을 제공합니다.

8. 권한 기반 토큰 검증

개요

토큰에 포함된 권한 정보를 확인하여 접근 제어를 수행하는 미들웨어입니다.

코드 예제

const requireRole = (role) => (req, res, next) => {
  const token = req.headers.authorization?.split(' ')[1];
  const decoded = jwt.verify(token, secret);

  if (decoded.role !== role) {
    return res.status(403).json({ error: 'Forbidden' });
  }
  next();
};

설명

토큰의 role 필드를 검증하여 특정 권한이 있는 사용자만 접근할 수 있도록 합니다. 라우트별로 필요한 권한을 지정할 수 있습니다. JWT 최신 기능과 보안 베스트 프랙티스를 8개의 카드로 정리했습니다. 실무에서 바로 적용 가능한 코드 예제들입니다.

마치며

이번 글에서는 JWT 최신 기능 완벽 가이드에 대해 알아보았습니다. 총 8가지 개념을 다루었으며, 각각의 사용법과 예제를 살펴보았습니다.

관련 태그

#JWT #Authentication #Security #TokenRefresh #ES256

#JWT#Authentication#Security#TokenRefresh#ES256#JavaScript

JWT|최신|기능|완벽|가이드

JWT(JSON Web Token)의 최신 기능과 보안 강화 방법을 알아봅니다. ES256 알고리즘, 토큰 갱신 전략, 보안 베스트 프랙티스를 실전 코드와 함께 학습합니다.

# JWT|최신|기능|완벽|가이드 JWT(JSON Web Token)의 최신 기능과 보안 강화 방법을 알아봅니다. ES256 알고리즘, 토큰 갱신 전략, 보안 베스트 프랙티스를 실전 코드와 함께 학습합니다. --- 카테고리: JavaScript 언어: JavaScript 태그: #JWT, #Authentication, #Security, #TokenRefresh, #ES256 --- ## 들어가며 이 글에서는 JWT 최신 기능 완벽 가이드에 대해 상세히 알아보겠습니다. 총 8가지 주요 개념을 다루며, 각각의 개념에 대한 설명과 실제 코드 예제를 함께 제공합니다. ## 목차 1. [JWT_기본_생성_및_검증](#jwt_기본_생성_및_검증) 2. [ES256_비대칭_암호화](#es256_비대칭_암호화) 3. [Refresh_Token_전략](#refresh_token_전략) 4. [JWT_Claims_활용](#jwt_claims_활용) 5. [토큰_블랙리스트_관리](#토큰_블랙리스트_관리) 6. [토큰_페이로드_암호화](#토큰_페이로드_암호화) 7. [토큰_자동_갱신_미들웨어](#토큰_자동_갱신_미들웨어) 8. [권한_기반_토큰_검증](#권한_기반_토큰_검증) --- ## 1. JWT_기본_생성_및_검증 ### 개요 JWT를 생성하고 검증하는 기본 방법입니다. HS256 알고리즘을 사용하여 안전하게 토큰을 만들고 확인합니다. ### 코드 예제 ```javascript const jwt = require('jsonwebtoken'); const payload = { userId: 123, role: 'admin' }; const secret = process.env.JWT_SECRET; const token = jwt.sign(payload, secret, { expiresIn: '1h' }); const verified = jwt.verify(token, secret); console.log(verified); // { userId: 123, role: 'admin' } ``` ### 설명 sign 메서드로 페이로드를 암호화하여 토큰을 생성하고, verify 메서드로 토큰의 유효성을 검증합니다. expiresIn 옵션으로 만료 시간을 설정할 수 있습니다. --- ## 2. ES256_비대칭_암호화 ### 개요 ES256(ECDSA) 알고리즘을 사용한 비대칭 키 암호화 방식입니다. 공개키와 개인키를 분리하여 보안성을 높입니다. ### 코드 예제 ```javascript const { generateKeyPairSync } = require('crypto'); const { publicKey, privateKey } = generateKeyPairSync('ec', { namedCurve: 'prime256v1' }); const token = jwt.sign({ data: 'secure' }, privateKey, { algorithm: 'ES256' }); const decoded = jwt.verify(token, publicKey); ``` ### 설명 개인키로 서명하고 공개키로 검증하는 방식으로, 개인키 노출 없이도 토큰 검증이 가능합니다. HS256보다 안전한 방식입니다. --- ## 3. Refresh_Token_전략 ### 개요 Access Token과 Refresh Token을 분리하여 보안성과 사용성을 모두 확보하는 전략입니다. ### 코드 예제 ```javascript const generateTokens = (userId) => { const accessToken = jwt.sign({ userId }, secret, { expiresIn: '15m' }); const refreshToken = jwt.sign({ userId }, refreshSecret, { expiresIn: '7d' }); return { accessToken, refreshToken }; }; ``` ### 설명 짧은 유효기간의 Access Token과 긴 유효기간의 Refresh Token을 함께 발급합니다. Access Token 만료 시 Refresh Token으로 재발급받아 보안과 편의성을 동시에 확보합니다. --- ## 4. JWT_Claims_활용 ### 개요 JWT의 표준 클레임(claims)을 활용하여 토큰에 메타데이터를 추가합니다. iss, aud, nbf 등의 표준 필드를 사용합니다. ### 코드 예제 ```javascript const token = jwt.sign( { userId: 123 }, secret, { issuer: 'myapp.com', audience: 'api.myapp.com', notBefore: '5s', jwtid: 'unique-token-id' } ); ``` ### 설명 issuer는 발급자, audience는 수신자, notBefore는 활성화 시점, jwtid는 토큰 고유 ID를 나타냅니다. 표준 클레임으로 토큰 관리가 체계적으로 가능합니다. --- ## 5. 토큰_블랙리스트_관리 ### 개요 로그아웃된 토큰을 무효화하기 위해 블랙리스트를 관리하는 방법입니다. Redis를 활용하여 효율적으로 처리합니다. ### 코드 예제 ```javascript const redis = require('redis'); const client = redis.createClient(); const blacklistToken = async (token) => { const decoded = jwt.decode(token); const ttl = decoded.exp - Math.floor(Date.now() / 1000); await client.setEx(`blacklist:${token}`, ttl, '1'); }; ``` ### 설명 로그아웃 시 토큰을 블랙리스트에 추가하고, 토큰 만료 시간만큼 TTL을 설정합니다. 토큰 검증 시 블랙리스트를 확인하여 무효화된 토큰을 거부합니다. --- ## 6. 토큰_페이로드_암호화 ### 개요 민감한 정보를 페이로드에 담을 때 추가 암호화를 적용하는 방법입니다. JWE(JSON Web Encryption)를 활용합니다. ### 코드 예제 ```javascript const { JWE } = require('node-jose'); const encrypt = async (payload, key) => { const encrypted = await JWE.createEncrypt({ format: 'compact' }, key) .update(JSON.stringify(payload)) .final(); return encrypted; }; ``` ### 설명 JWT는 기본적으로 Base64 인코딩만 되어 있어 페이로드가 노출됩니다. JWE로 페이로드를 암호화하면 민감한 정보도 안전하게 전달할 수 있습니다. --- ## 7. 토큰_자동_갱신_미들웨어 ### 개요 Express 미들웨어로 토큰 만료가 임박하면 자동으로 갱신하는 기능입니다. ### 코드 예제 ```javascript const autoRefresh = (req, res, next) => { const token = req.headers.authorization?.split(' ')[1]; const decoded = jwt.decode(token); const timeLeft = decoded.exp - Date.now() / 1000; if (timeLeft (req, res, next) => { const token = req.headers.authorization?.split(' ')[1]; const decoded = jwt.verify(token, secret); if (decoded.role !== role) { return res.status(403).json({ error: 'Forbidden' }); } next(); }; ``` ### 설명 토큰의 role 필드를 검증하여 특정 권한이 있는 사용자만 접근할 수 있도록 합니다. 라우트별로 필요한 권한을 지정할 수 있습니다. JWT 최신 기능과 보안 베스트 프랙티스를 8개의 카드로 정리했습니다. 실무에서 바로 적용 가능한 코드 예제들입니다. --- ## 마치며 이번 글에서는 JWT 최신 기능 완벽 가이드에 대해 알아보았습니다. 총 8가지 개념을 다루었으며, 각각의 사용법과 예제를 살펴보았습니다. ### 관련 태그 #JWT #Authentication #Security #TokenRefresh #ES256

카테고리: JavaScript

언어: JavaScript

태그: JWT, Authentication, Security, TokenRefresh, ES256, JavaScript

작성자: AI Generated

프리미엄 콘텐츠 - 3개월 무료 체험 가능

JWT 최신 기능 완벽 가이드

들어가며

목차

1. JWT 기본 생성 및 검증

개요

코드 예제

설명

2. ES256 비대칭 암호화

개요

코드 예제

설명

3. Refresh Token 전략

개요

코드 예제

설명

4. JWT Claims 활용

개요

코드 예제

설명

5. 토큰 블랙리스트 관리

개요

코드 예제

설명

6. 토큰 페이로드 암호화

개요

코드 예제

설명

7. 토큰 자동 갱신 미들웨어

개요

코드 예제

설명

8. 권한 기반 토큰 검증

개요

코드 예제

설명

마치며

관련 태그

이 카드뉴스가 포함된 코스

JWT & OAuth 인증

Authentication 완벽 마스터

JWT 완벽 마스터

Security 완벽 마스터

JWT 실전 가이드

댓글 (0)

함께 보면 좋은 카드 뉴스

Istio 보안 완벽 가이드

서비스 메시 완벽 가이드

EFK 스택 로깅 완벽 가이드

Grafana 대시보드 완벽 가이드

분산 추적 완벽 가이드