JWT, Refresh Token, Access Token 이란?

JWT, Refresh Token, Access Token은 현대 웹 애플리케이션의 인증과 보안에서 중요한 역할을 하는 개념들입니다. 이 글에서는 이들 세 가지의 개념을 깊이 있게 설명하고, 각 토큰이 어떻게 사용되는지, 그리고 안전한 인증 시스템을 구축하기 위해 어떻게 활용할 수 있는지 알아보겠습니다.

---

목차

1. JWT (JSON Web Token)
   • JWT의 정의와 구조
   • JWT의 장점과 단점
   • JWT의 사용 사례
   • JWT의 생성 및 검증 과정
2. Access Token
   • Access Token의 개념
   • Access Token의 역할
   • Access Token의 유효 기간
   • Access Token의 보안 고려사항
3. Refresh Token
   • Refresh Token의 개념
   • Refresh Token의 필요성
   • Refresh Token의 유효 기간 및 관리
   • Refresh Token의 보안 고려사항
4. JWT 기반 인증의 흐름
   • Access Token과 Refresh Token의 관계
   • 클라이언트와 서버 간 통신 과정
   • 토큰 갱신(Refresh) 과정
5. JWT, Refresh Token, Access Token의 보안 모범 사례
   • 토큰 암호화 및 서명
   • 토큰 저장소 관리
   • 토큰 탈취 방지 방법

---

1. JWT (JSON Web Token)

JWT의 정의와 구조

JWT는 JSON Web Token의 약자로, 주로 인증과 정보 교환에 사용되는 표준입니다. JWT는 세 부분으로 나뉩니다:

1. Header: 토큰의 타입(JWT)과 사용되는 서명 알고리즘(예: HMAC, RSA)을 포함합니다.
2. { "alg": "HS256", "typ": "JWT" }
3. Payload: 토큰에 담길 클레임(사용자 정보나 추가 데이터)을 포함합니다. 예를 들어, 사용자 ID나 권한 정보를 담을 수 있습니다.
4. { "sub": "1234567890", "name": "John Doe", "admin": true }
5. Signature: Header와 Payload를 결합한 후, 비밀키를 사용해 해싱한 값입니다. 이는 토큰의 무결성을 보장합니다.
6. HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)

이 세 부분은 각각 Base64 URL 인코딩이 적용되어 "Header.Payload.Signature"의 형태로 전달됩니다.

JWT의 장점과 단점

장점

• 자체 포함형: JWT는 자체적으로 클레임을 포함하므로, 서버는 별도의 세션 저장소가 필요하지 않습니다.
• 확장성: 다양한 서비스나 API에서 JWT를 쉽게 사용할 수 있습니다.
• 서명 기반 보안: 서명된 토큰은 위변조 방지가 가능합니다.

단점

• 토큰 크기: JWT는 많은 클레임을 포함할수록 크기가 커져 네트워크 트래픽에 영향을 줄 수 있습니다.
• 탈취 위험: 토큰이 탈취될 경우, 토큰의 유효 기간 동안 공격자가 권한을 사용할 수 있습니다.

JWT의 사용 사례

• 사용자 인증: 로그인 후 서버가 클라이언트에게 JWT를 발급하여 이후 요청에 대한 인증을 진행합니다.
• 정보 교환: 안전하고 신뢰할 수 있는 방식으로 클라이언트와 서버 간 정보를 교환할 수 있습니다.

JWT의 생성 및 검증 과정

JWT는 사용자 로그인 시 생성되며, 사용자는 이를 클라이언트(예: 브라우저)에 저장하고 서버에 요청 시 전송합니다. 서버는 JWT의 서명을 확인하여 토큰의 유효성을 검증한 후, 클레임에 담긴 정보로 요청을 처리합니다.

---

2. Access Token

Access Token의 개념

Access Token은 사용자가 서버에 접근할 수 있는 권한을 부여받은 증명서입니다. 주로 사용자의 특정 리소스나 API에 대한 접근을 허용하는 데 사용되며, 짧은 유효 기간을 가집니다.

Access Token의 역할

Access Token은 서버에 대해 클라이언트가 인증된 사용자임을 입증하며, 주로 HTTP 헤더에 포함되어 전송됩니다. 서버는 토큰을 확인하고 요청을 처리합니다.

Authorization: Bearer <access_token>

Access Token의 유효 기간

보안상의 이유로, Access Token은 일반적으로 짧은 유효 기간을 가집니다. 보통 몇 분에서 몇 시간 정도로 설정되며, 유효 기간이 만료되면 Refresh Token을 통해 새로운 Access Token을 발급받아야 합니다.

Access Token의 보안 고려사항

• Access Token은 클라이언트에서 보관할 때 안전하게 저장되어야 하며, 쿠키나 로컬 스토리지에 저장하는 방법이 있습니다.
• HTTPS를 사용하여 토큰이 네트워크에서 안전하게 전달되도록 해야 합니다.

---

3. Refresh Token

Refresh Token의 개념

Refresh Token은 Access Token의 유효 기간이 만료되었을 때, 새로운 Access Token을 발급받기 위해 사용되는 장기 유효 기간의 토큰입니다. Refresh Token은 일반적으로 Access Token과 함께 발급되며, 보안이 강화된 환경에서 사용됩니다.

Refresh Token의 필요성

Access Token의 짧은 유효 기간 때문에 사용자가 계속해서 서비스를 이용할 수 있도록 새로운 Access Token을 발급하는 메커니즘이 필요합니다. 이 역할을 하는 것이 Refresh Token입니다. 이를 통해 사용자는 다시 로그인할 필요 없이 자동으로 Access Token을 갱신할 수 있습니다.

Refresh Token의 유효 기간 및 관리

Refresh Token은 보통 몇 주에서 몇 달 정도의 긴 유효 기간을 가집니다. 이 토큰은 서버 측에서만 유효성을 검증하는 것이 일반적입니다.

Refresh Token의 보안 고려사항

• Refresh Token은 반드시 안전한 저장소에 저장해야 하며, 탈취되었을 경우 즉시 무효화할 수 있는 메커니즘을 마련해야 합니다.
• Refresh Token은 Access Token보다 더 민감한 정보이므로, 보다 엄격한 보안 관리가 필요합니다.

---

4. JWT 기반 인증의 흐름

Access Token과 Refresh Token의 관계

• 사용자는 로그인 후 Access Token과 Refresh Token을 받습니다.
• 사용자는 Access Token을 사용하여 인증된 상태에서 서버에 요청을 보냅니다.
• Access Token이 만료되면, Refresh Token을 서버로 보내 새로운 Access Token을 요청합니다.

클라이언트와 서버 간 통신 과정

1. 사용자가 로그인을 시도하면, 서버는 사용자의 자격 증명을 확인하고 Access Token과 Refresh Token을 발급합니다.
2. 사용자는 Access Token을 이용해 서버에 요청을 보내며, 서버는 이를 검증합니다.
3. Access Token이 만료되면, 클라이언트는 Refresh Token을 사용하여 새로운 Access Token을 요청합니다.

토큰 갱신(Refresh) 과정

POST /auth/token
Authorization: Bearer <refresh_token>

서버는 Refresh Token을 확인하고, 유효하다면 새로운 Access Token을 발급합니다.

---

5. JWT, Refresh Token, Access Token의 보안 모범 사례

토큰 암호화 및 서명

• JWT는 서명된 후 전송되므로 위변조 방지가 가능하지만, 민감한 데이터는 암호화하여 보호하는 것이 좋습니다.
• 비밀키는 안전하게 보호되어야 하며, 서명 알고리즘을 강력하게 설정해야 합니다.

토큰 저장소 관리

• 클라이언트 측에서는 토큰을 안전하게 저장해야 하며, 탈취 방지를 위해 쿠키와 같은 보안 기능(예: HttpOnly, Secure)을 사용하는 것이 좋습니다.

토큰 탈취 방지 방법

• HTTPS를 사용하여 토큰이 네트워크 상에서 안전하게 전송되도록 해야 합니다.
• 짧은 유효 기간을 가진 Access Token을 사용하여 토큰 탈취 시 피해를 최소화할 수 있습니다.