JWT 토큰이란 무엇인가 – 토큰 기반 인증 쉽게 이해하기

목차

1. 세션 방식의 한계
2. JWT란 무엇인가?
3. JWT의 구조
4. JWT 인증 동작 방식
5. 세션 방식 vs JWT 방식 비교
6. JWT의 장점과 단점
7. JWT 사용 시 주의해야 할 보안 사항
8. 정리 및 다음 단계

1. 세션 방식의 한계

앞서 세션 방식의 로그인을 배웠습니다. 사용자가 로그인하면 서버가 세션을 생성하고, 세션 ID를 쿠키로 전달하는 방식입니다.

세션 방식은 잘 동작하지만 한 가지 큰 문제가 있습니다. 사용자 정보가 서버 메모리에 저장되기 때문에, 서버가 여러 대로 늘어나면 문제가 생깁니다.

예를 들어 서버 A에서 로그인해서 세션이 서버 A에 저장됐는데, 다음 요청이 서버 B로 전달되면 서버 B에는 그 세션 정보가 없어서 로그인이 풀리는 현상이 생깁니다. 트래픽이 많은 대형 서비스에서는 서버를 여러 대 운영하는 것이 기본이기 때문에, 이 문제가 매우 중요합니다.

이 문제를 해결하기 위해 등장한 것이 JWT 토큰 방식입니다.

2. JWT란 무엇인가?

**JWT(JSON Web Token)**는 사용자 정보를 토큰 자체에 담아 클라이언트에 전달하는 인증 방식입니다.

세션 방식은 사용자 정보를 서버에 저장하고 ID만 주는 방식이라면, JWT는 정보 자체를 암호화해서 토큰으로 만들어 클라이언트에게 주는 방식입니다.

쉬운 비유로 설명하면, 세션은 물품 보관함 번호표와 같습니다. 번호표만 있고 실제 물건은 서버(보관함)에 있습니다. 반면 JWT는 신분증과 같습니다. 신분증 자체에 이름, 생년월일, 사진 등 모든 정보가 담겨 있습니다.

3. JWT의 구조

JWT는 세 부분으로 구성되며, 각 부분은 점(.)으로 구분됩니다.

실제 JWT 토큰은 다음처럼 생겼습니다.

eyJhbGciOiJIUzI1NiJ9.eyJzdWIiOiIxMjM0NTY3ODkwIn0.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

이 세 부분은 순서대로 헤더(Header), 페이로드(Payload), 서명(Signature)입니다. 각 부분은 Base64로 인코딩되어 있습니다.

헤더(Header) 토큰의 타입(JWT)과 사용된 암호화 알고리즘 정보를 담고 있습니다.

페이로드(Payload) 실제 담고 싶은 데이터(사용자 ID, 권한, 만료 시간 등)를 담는 부분입니다. 이 데이터를 **클레임(Claim)**이라고 부릅니다.

{
  "userId": 123,
  "email": "hong@example.com",
  "role": "admin",
  "exp": 1746000000
}

서명(Signature) 헤더와 페이로드를 합친 뒤 서버만 알고 있는 비밀 키로 암호화한 값입니다. 이 서명 덕분에 토큰이 위조되지 않았음을 검증할 수 있습니다.

페이로드는 Base64로 인코딩된 것이라 누구나 디코딩해서 볼 수 있습니다. 따라서 비밀번호 같은 민감한 정보는 절대 페이로드에 넣으면 안 됩니다.

4. JWT 인증 동작 방식

JWT를 사용한 로그인 과정을 순서대로 살펴보겠습니다.

첫 번째로 사용자가 아이디와 비밀번호로 로그인 요청을 보냅니다.

두 번째로 서버가 아이디와 비밀번호를 확인하고 일치하면, 사용자 정보가 담긴 JWT 토큰을 생성해서 클라이언트에 전달합니다.

세 번째로 클라이언트(브라우저 또는 앱)는 토큰을 저장합니다. 주로 로컬 스토리지나 쿠키에 저장합니다.

네 번째로 이후 API 요청 시마다 HTTP 헤더에 토큰을 담아 서버로 전송합니다. Authorization: Bearer 토큰값 형태로 전달합니다.

다섯 번째로 서버는 토큰의 서명을 검증해 유효한 토큰인지 확인합니다. 유효하면 토큰 안의 사용자 정보를 꺼내 요청을 처리합니다.

이 과정에서 서버는 토큰을 어디에도 저장하지 않습니다. 서명 검증만으로 토큰의 유효성을 판단합니다.

5. 세션 방식 vs JWT 방식 비교

구분세션 방식JWT 방식

정보 저장 위치	서버	클라이언트(토큰 안)
서버 부하	있음 (세션 저장 필요)	없음
다중 서버 환경	별도 처리 필요	간편
토큰 강제 만료	가능	어려움
보안	상대적으로 안전	토큰 탈취 시 위험
주요 사용처	일반 웹사이트	모바일 앱, SPA, MSA

6. JWT의 장점과 단점

장점

서버에 상태를 저장하지 않아 서버 확장이 자유롭습니다. 서버 여러 대를 운영해도 어떤 서버에서든 토큰을 검증할 수 있습니다. 모바일 앱이나 다양한 클라이언트에서 사용하기 편리합니다.

단점

토큰이 탈취되면 만료 전까지 막을 방법이 없습니다. 세션처럼 서버에서 즉시 로그아웃 처리가 어렵습니다. 페이로드에 많은 정보를 담을수록 토큰 크기가 커져 매 요청마다 전송 데이터가 늘어납니다.

7. JWT 사용 시 주의해야 할 보안 사항

만료 시간 설정 필수 JWT는 토큰에 만료 시간(exp)을 설정해야 합니다. 만료 시간이 없으면 한 번 발급된 토큰이 영원히 유효해져 보안 사고 시 대응이 불가능합니다. 일반적으로 액세스 토큰은 15분~1시간, 리프레시 토큰은 7~30일로 설정합니다.

HTTPS 사용 필수 토큰이 네트워크에서 탈취되지 않도록 반드시 HTTPS로 통신해야 합니다.

민감한 정보 페이로드에 넣지 않기 페이로드는 누구나 디코딩해서 볼 수 있기 때문에 비밀번호, 카드 번호 같은 민감한 정보는 절대 담으면 안 됩니다.

8. 정리 및 다음 단계

오늘 배운 핵심을 정리합니다.

• JWT는 사용자 정보를 토큰 자체에 담아 클라이언트에 전달하는 토큰 기반 인증 방식입니다.
• 헤더, 페이로드, 서명 세 부분으로 구성되며 서명으로 위조 여부를 검증합니다.
• 서버에 상태를 저장하지 않아 다중 서버 환경에 적합합니다.
• 페이로드는 디코딩 가능하므로 민감한 정보를 담으면 안 됩니다.
• 반드시 만료 시간을 설정하고 HTTPS와 함께 사용해야 합니다.

다음 글에서는 CORS란 무엇인지, 브라우저에서 API 요청이 막히는 이유를 알아보겠습니다.