JSON Web Token

두 당사자 간 정보를 안전하게 전송하기 위한 토큰 방식

구조

• Header: 토큰 타입 및 해싱 알고리즘 정보
• Payload: 실제 포함한 사용자 정보 (Claims)
• Signature: 토큰의 무결성을 검증하는 서명

특징

• Self-contained: 토큰 자체에 사용자 정보가 포함됨
• Stateless: 서버에서 토큰을 저장하지 않음
• URL-Safe: Base64URL 인코딩으로 URL에서 변형 없이 안전하게 사용 가능

사용하는 이유

• 별도의 세션 저장소가 불필요
• 인증 담당 시스템을 다른 플랫폼으로 분리(OAuth)하는 것이 용이함
• 대규모 서비스의 경우 서버 간 세션 동기화 문제 없음
• RESTful API의 무상태성 원칙에 부합