Library/jwt

토큰을 발급하고 인증받고, 검증하려는데 구조와 프로세싱을 이해하는데 5일이 걸린 거 같다... 개발될수록 티스토리의 내용 및 코드가 변경될 수 있습니다. 참고사이트 - 구글 검색으로 "jwt", "token" 인증 관련 검색으로 나온 내용 전부 🧠 사전 지식const jwt = require('jsonwebtoken'); // // 토큰 발급 코드 // // Data - 토큰에 담을 내용을 담습니다. // SecretKey - 임의적으로 개발자가 정해줍니다. // options - 토큰의 유효기간 및 서명 옵션을 지정했습니다. const token = jwt.sign(Data, SecretKey, signOptions ) // // 토큰 검증 코드 // // token - 발급 받은 토큰을 담습니다. /..

참고 사이트 • https://puleugo.tistory.com/138 🎫AccessToken과 🪪RefreshToken • AccessToken: 서버 API를 직접 요청할 때 사용한다. • RefreshToken: 액세스 토큰이 만료되었을 때 액세스 토큰을 재발급할 목적으로 사용한다. 🧑🏻‍❤️‍👩🏻분리 목적 클라이언트와 서버 간의 API 통신 중, 토큰이 해커에게 유출될 수 있기 때문이다. 따라서, 직접 API를 호출하는 액세스 토큰의 주기는 짧게 설정하고 (약 1시간) 액세스 토큰을 재발급하는 리프레시 토큰의 주기는 비교적 길게 설정한다. (약 2주) 이렇게 된다면 액세스 토큰이 유출되더라도 만료 주기가 짧아 피해를 조금이나마 줄일 수 있다. 💻 개발 액세스/리프레시 토큰 방식은 중간에 탈취 당..

참고 사이트 • https://velopert.com/2389 🗼 구조 jwt는 ' . ' 을 구분자로 3가지 문자열로 구성되어 있다. 구조는 다음과 같다. 👷🏻‍♂️ Header Header는 두가지의 정보를 지니고 있다. • typ: 토큰의 타입을 지정한다. 즉, jwt • alg: 해싱 알고리즘을 지정한다. 해싱 알고리즘은 보통 HMAC SHA256 혹은 RSA가 사용되며, 이 알고리즘은 토큰을 검증할 때 사용되는 signature부분에서 사용된다. { "typ": "JWT", "alg": "HS256" } 다음을 base64로 인코딩 하면 다음과 같다. const header = { typ: 'JWT', alg: 'HS256', }; const encodedHeader = new Buffer(JS..

참고 사이트 나무를 심은사람님의 티스토리 후디님의 블로그 불타는 키보드님의 티스토리 푸르고 개발님의 티스토리 🔓 로그인 방식 이해 로그인은 크게 세션방식과 토큰 인증 방식으로 구분된다. HTTP는 stateless한 특성을 가지며, 바로 직전의 상태 또한 저장이 되지 않는다. 그렇다고 우리는 서버에 요청할 때마다 호출할 때마다 로그인창을 열고 인증하지 않는다. 유저가 로그인을 성공하여 서버에 인증된 회원인 것이 확인되면 유저에게 세션 또는 토큰을 발급한다. 그럼 유저는 세션 또는 토큰을 로컬스토리지 또는 🍪Cookie로 가지고 있다가 서버에 요청할 때마다 세션 또는 토큰을 보낸다. 🔑 Session 방식 세션 방식은 사용자의 인증 정보가 서버의 세션 저장소에 저장하고, 사용자에게 저장된 세션 정보 식별자..