[Spring] JWT (JSON Web Token)

Backend/Spring

[Spring] JWT (JSON Web Token)

carsumin 2025. 2. 18. 22:34

JWT 란?

JSON Web Token, JSON 객체를 안전하게 전송하기 위한 토큰 기반 인증 방식
자기 포함 (Self-contained) : 토큰안에 유저 정보나 권한 같은 필요한 정보를 직접 담고 있어서 별도의 세션 저장소가 필요없음
서명 (Signature) : 토큰은 서명되어 있어서 내용이 위조되지 않았는지 검증이 가능함
Stateless : 서버는 클라이언트의 상태를 유지할 필요없이 토큰만 확인하면 됨

JWT 구조

Header : 토큰의 타입과 해싱 알고리즘 (ex : HS256)
Payload : 유저 정보 및 클레임(claims)이 포함되는 데이터 (ex : sub, name, exp 등)
Signature : 헤더와 페이로드를 비밀키로 해싱한 서명

JWT util class 예제

import io.jsonwebtoken.*;
import io.jsonwebtoken.security.Keys;

import javax.crypto.SecretKey;
import java.util.Date;

public class JwtTokenUtil {
    // 비밀키 (실제로는 환경변수나 config에 보관)
    private final SecretKey secretKey = Keys.secretKeyFor(SignatureAlgorithm.HS256);

    // JWT 유효시간 (예: 1시간)
    private final long expirationMs = 1000 * 60 * 60;

    // JWT 생성
    public String generateToken(String username) {
        return Jwts.builder()
                .setSubject(username) // 사용자 식별자
                .setIssuedAt(new Date()) // 발행 시간
                .setExpiration(new Date(System.currentTimeMillis() + expirationMs)) // 만료 시간
                .signWith(secretKey) // 서명
                .compact();
    }

    // JWT 검증 및 파싱
    public Claims getClaims(String token) {
        return Jwts.parserBuilder()
                .setSigningKey(secretKey)
                .build()
                .parseClaimsJws(token)
                .getBody();
    }

    // 토큰 만료 여부 확인
    public boolean isTokenExpired(String token) {
        Date expiration = getClaims(token).getExpiration();
        return expiration.before(new Date());
    }

    // 사용자 이름 추출
    public String getUsername(String token) {
        return getClaims(token).getSubject();
    }
}

JWT 사용 예시

로그인 인증
1. 사용자가 로그인
2. 서버가 사용자 정보를 바탕으로 JWT 발급
3. 클라이언트는 이후 요청마다 JWT를 토큰 형태로 전송
4. 서버는 토큰을 검증하여 인증 처리
SSO (Single Sign-On)
- 여러 서비스가 있는 시스템에서 한 번의 로그인으로 여러 서비스에 접근할 수 있도록 JWT를 사용
- ex : 회사 포털에서 로그인하면 메일, 인사시스템, 회계시스템 등 자동 로그인
모바일 앱과 서버 간 통신
- 모바일 앱은 세션 대신 JWT를 사용하여 인증 및 권한 관리를 수행
- 서버가 상태를 저장하지 않기 때문에 확장성이 좋음
API 인증 및 권한 처리
- 사용자 권한 (role: admin) 등을 토큰에 담아 API 접근을 제어

JWT 토큰 유효성 체크

생성한 토큰이 유효한지 아래의 사이트에서 검사할 수 있음
https://jwt.io/

'Backend > Spring' 카테고리의 다른 글

[Spring] API gateway (2)	2026.01.26
[Spring] Spring WebFlux 란 무엇인가 (2)	2026.01.05
[Spring] IAM(Identity and Access Management) 인증 서버 (0)	2025.01.19
[SpringBoot] 스프링부트 +Thymeleaf + H2 Database + JPA - 프로젝트 환경설정 및 H2 DB 연결 테스트 (1)	2024.12.12
[SpringBoot] VSCODE에서 Spring Boot 환경설정하고 프로젝트 생성하기 (0)	2024.10.30

현재글[Spring] JWT (JSON Web Token)

carsumin devlog 🍀

[Spring] JWT (JSON Web Token)

'Backend > Spring' 카테고리의 다른 글

'Backend/Spring'의 다른글

티스토리툴바

[Spring] JWT (JSON Web Token)

'Backend > Spring' 카테고리의 다른 글

'Backend/Spring'의 다른글

관련글

티스토리툴바