Node.js에서 JWT 인증을 구현하는 방법은 무엇인가요?

Q1: JWT란 무엇인가요?
A1: JWT(JSON Web Token)는 JSON 객체를 안전하게 전송하기 위한 토큰 기반 인증 방식입니다. 서버와 클라이언트 간에 사용자 정보를 암호화하지 않고 서명된 토큰 형태로 주고받아 인증에 사용합니다.

Q2: Node.js에서 JWT 인증을 구현하려면 어떤 패키지를 사용하나요?
A2: 인기 있는 패키지는 `jsonwebtoken`입니다. 이를 통해 JWT 토큰 생성(sign)과 검증(verify)을 쉽게 할 수 있습니다.

Q3: JWT 인증 구현을 위한 기본 단계는 무엇인가요?
A3:
1. 사용자 로그인 정보를 검증한다.
2. 검증 성공 시 `jsonwebtoken`으로 JWT 토큰을 생성하여 클라이언트에 전달한다.
3. 클라이언트는 요청 시 Header의 `Authorization`에 토큰을 포함시켜 서버에 보낸다.
4. 서버는 미들웨어로 토큰의 유효성을 검증하여 인증된 사용자만 접근 권한을 부여한다.

Q4: JWT 토큰은 어떻게 생성하나요? (예제 포함)
A4:
```javascript
const jwt = require('jsonwebtoken');

const payload = { userId: '12345', username: 'exampleUser' };
const secretKey = 'your-secret-key';
const options = { expiresIn: '1h' };

const token = jwt.sign(payload, secretKey, options);
console.log(token);
```

Q5: JWT 토큰을 어떻게 검증하나요? (예제 포함)
A5:
```javascript
const token = req.headers.authorization.split(' ')[1]; // "Bearer TOKEN" 형식인 경우
jwt.verify(token, secretKey, (err, decoded) => {
if (err) {
return res.status(401).json({ message: '인증 실패' });
}
req.user = decoded; // 디코딩된 사용자 정보 저장
next();
});
```

Q6: JWT를 안전하게 사용하기 위한 팁이 있나요? A6:
- 비밀키(`secretKey`)는 절대 코드에 하드코딩하지 말고 환경변수(.env)로 관리하세요.
- 토큰 만료시간을 적절히 설정하고, 만료된 토큰은 재발급 정책을 두세요.
- HTTPS 환경에서만 토큰을 전송하여 중간자 공격을 방지하세요.
- 민감한 사용자 정보는 토큰에 저장하지 마세요; 가능한 최소한의 정보만 포함합니다.

Q7: JWT 토큰을 HTTP 쿠키에 저장해도 되나요?
A7: 네, 가능하지만 쿠키에 저장 시 `HttpOnly`와 `Secure` 속성을 설정하여 XSS(Cross-site scripting) 및 중간자 공격을 방지해야 합니다.

Q8: JWT를 이용한 인증 미들웨어 예제는?
A8:
```javascript
const jwt = require('jsonwebtoken');

function authMiddleware(req, res, next) {
const authHeader = req.headers.authorization;
if (!authHeader) return res.status(401).json({ message: '토큰이 없습니다.' });

const token = authHeader.split(' ')[1];
jwt.verify(token, process.env.JWT_SECRET, (err, decoded) => {
if (err) return res.status(401).json({ message: '유효하지 않은 토큰입니다.' });
req.user = decoded;
next();
});
}

module.exports = authMiddleware;
```

Q9: JWT 기반 인증과 세션 기반 인증의 차이는?
A9:
- JWT 인증은 상태 비저장(stateless)이며, 서버에 세션 정보를 저장하지 않고 토큰 자체에 사용자 정보를 포함합니다.
- 세션 인증은 서버 메모리 또는 DB에 세션 정보를 저장하고 세션 ID를 쿠키로 클라이언트에 전달합니다.
- JWT는 확장성과 모바일/API 인증에 유리합니다.

Q10: 토큰 갱신(Refresh Token)은 어떻게 처리하나요?
A10:
- 보통 access token과 refresh token을 분리하여 사용합니다.
- Access token은 짧은 유효기간을 갖고, Refresh token은 더 긴 유효기간입니다.
- Access token 만료 시 refresh token으로 새로운 access token을 발급받습니다.
- 이 로직은 별도의 API 엔드포인트로 구현하고, refresh token은 안전하게 저장 관리해야 합니다.

Node.js에서 JWT(JSON Web Token) 인증을 구현하는 방법에 대해 자세히 설명하겠습니다.

JWT는 클라이언트와 서버 간의 안전한 정보 전송을 위한 표준으로, 주로 인증 및 권한 부여에 사용됩니다.

이 방법은 세션 기반 인증보다 더 유연하고 확장성이 뛰어난 장점이 있습니다.

1. JWT의 기본 개념 JWT는 세 부분으로 구성됩니다: - Header : 토큰의 타입과 해싱 알고리즘을 정의합니다.

- Payload : 사용자에 대한 정보(클레임)를 포함합니다.

이 정보는 인코딩되지만 암호화되지는 않으므로 민감한 정보는 포함하지 않아야 합니다.

- Signature : Header와 Payload를 조합하여 비밀 키로 서명한 것입니다.

이 서명은 토큰의 무결성을 보장합니다.



2. 필요한 패키지 설치 Node.js에서 JWT 인증을 구현하기 위해 필요한 패키지를 설치합니다.

`jsonwebtoken`과 `express`를 사용할 것입니다.

```bash npm install express jsonwebtoken dotenv ``` - `express`: Node.js 웹 애플리케이션 프레임워크 - `jsonwebtoken`: JWT 생성 및 검증을 위한 라이브러리 - `dotenv`: 환경 변수를 관리하기 위한 라이브러리

3. 기본 서버 설정 `server.js` 파일을 생성하고 기본 Express 서버를 설정합니다.

```javascript const express = require('express'); const jwt = require('jsonwebtoken'); const dotenv = require('dotenv'); dotenv.config(); const app = express(); app.use(express.json()); const PORT = process.env.PORT || 3000; // 사용자 데이터 (예시) const users = [ { id: 1, username: 'user1', password: 'password1' }, { id: 2, username: 'user2', password: 'password2' } ]; ```

4. 로그인 엔드포인트 구현 사용자가 로그인할 수 있는 엔드포인트를 구현합니다.

사용자가 제공한 자격 증명을 확인하고, 유효한 경우 JWT를 생성하여 반환합니다.

```javascript app.post('/login', (req, res) => { const { username, password } = req.body; // 사용자 확인 const user = users.find(u => u.username === username && u.password === password); if (!user) { return res.status(401).send('Invalid credentials'); } // JWT 생성 const token = jwt.sign({ id: user.id, username: user.username }, process.env.JWT_SECRET, { expiresIn: '1h' }); res.json({ token }); }); ```

5. 미들웨어로 JWT 검증 JWT를 검증하는 미들웨어를 작성하여 보호된 라우트를 구현합니다.

```javascript function authenticateToken(req, res, next) { const token = req.headers['authorization']?.split(' ')[1]; if (!token) return res.sendStatus(401); jwt.verify(token, process.env.JWT_SECRET, (err, user) => { if (err) return res.sendStatus(40

3); req.user = user; next(); }); } ```

6. 보호된 라우트 구현 이제 JWT 인증이 필요한 보호된 라우트를 구현합니다.

```javascript app.get('/protected', authenticateToken, (req, res) => { res.json({ message: 'This is a protected route', user: req.user }); }); ```

7. 서버 실행 마지막으로 서버를 실행합니다.

```javascript app.listen(PORT, () => { console.log(`Server is running on http://localhost:${PORT}`); }); ```

8. 환경 변수 설정 `.env` 파일을 생성하고 JWT 비밀 키를 설정합니다.

``` JWT_SECRET=your_secret_key ```

9. 테스트 서버가 실행 중일 때, Postman이나 cURL을 사용하여 로그인 요청을 보내고 JWT를 받아올 수 있습니다.

받은 JWT를 Authorization 헤더에 포함시켜 보호된 라우트에 접근할 수 있습니다.

```bash 로그인 요청 curl -X POST http://localhost:3000/login -H "Content-Type: application/json" -d '{"username":"user1", "password":"password1"}' 보호된 라우트 접근 curl -X GET http://localhost:3000/protected -H "Authorization: Bearer YOUR_JWT_TOKEN" ``` 결론 이와 같이 Node.js에서 JWT 인증을 구현할 수 있습니다.

JWT는 클라이언트와 서버 간의 안전한 인증을 제공하며, 세션 관리의 복잡성을 줄여줍니다.

그러나 JWT를 사용할 때는 비밀 키를 안전하게 관리하고, 민감한 정보를 Payload에 포함하지 않도록 주의해야 합니다.