JSON Web Token 이해하기: 개발자 가이드

JWT는 두 시스템 사이에서 클레임을 전달하기 위한 간결한 토큰 형식입니다. 현대 웹 애플리케이션에서 인증과 권한 부여 흐름에 널리 사용됩니다.

JWT 구조

JWT는 점으로 구분된 세 부분, 즉 header.payload.signature 로 구성됩니다. 각 부분은 Base64URL 형식으로 인코딩된 JSON입니다.

• Header — 토큰 타입과 서명 알고리즘
• Payload — 등록/공개/비공개 클레임
• Signature — 토큰 위변조 여부 검증

보안 주의점

• 민감정보를 payload에 넣지 마세요 — JWT는 인코딩이지 암호화가 아닙니다
• 서명 검증을 생략하지 마세요
• 짧은 만료 시간을 사용하세요
• 충분히 강한 서명 키를 사용하세요

안전하게 점검하기

토큰을 확인할 때는 브라우저 안에서 동작하는 검사 도구를 사용하는 편이 안전합니다. 서버 기반 디코더는 운영 토큰을 로그에 남길 위험이 있습니다.