개발 공부기록

숫자를 다루는 함수

소수점 이하 숫자 다루기

간단한 연산하기

문자를 다루는 함수

문자열 다루기

🌐 공식 문서

https://dev.mysql.com/doc/refman/8.0/en/numeric-functions.html

https://dev.mysql.com/doc/refman/8.0/en/string-functions.html

 BETWEEN, IN, IS NULL / IS NOT NULL, LIKE

1. BETWEEN

• BETWEEN은 SQL에서 특정 범위 내에 있는 행만 선택할 수 있는 논리 연산자
• AND 연산자와 쌍을 이루며 시작값, 끝값을 포함한다

SELECT *
FROM 테이블명
WHERE 칼럼명 BETWEEN 조건1 AND 조건2;

-- 위 내용을 아래와 같이 AND 연산자로 풀어쓰는 것 또한 가능함

SELECT *
FROM 테이블명
WHERE 칼럼명 >= 조건1 AND 칼럼명 <= 조건2;

👇 예시 코드

# 숫자 데이터
SELECT * FROM Products
WHERE CustomerId BETWEEN 10 AND 20;

# 문자열 데이터
SELECT * FROM Products
WHERE CustomerName BETWEEN 'C' AND 'M';

# 날짜 데이터
SELECT * FROM Orders
WHERE CustomerOrder BETWEEN '2019-01-01' AND '2020-01-01';

2. IN

• IN은 결과에 포함시키고자 하는 값 목록을 지정할 수 있는 SQL의 논리 연산자
• 데이터 유형에 관계없이 목록의 값은 쉼표로 구분

SELECT *
FROM 테이블명
WHERE 컬럼명 IN (값1, 값2, ...);

👇 예시 코드

SELECT *
FROM Customers
WHERE Country IN ('Korea', 'Germany', 'France');

-- 아래와 같이 OR 연산자로 풀어쓰는 것도 가능

SELECT *
FROM Customers
WHERE Country = 'Korea' OR Country = 'GERMANY' OR Country = 'France';

3. IS NULL / IS NOT NULL

• 테이블 내에 입력되지 않은 데이터는 NULL로 저장이 되며 'IS NULL'로 검색 가능
• NULL 값을 검색할 때는 = 연산자가 아니라 'IS NULL' 사용
• 반대로 NULL값이 아닌 행을 검색할 경우, 'IS NOT NULL' 사용

👇 예시 코드

# IS NULL 예제
SELECT *
FROM sample
WHERE name IS NULL;

# IS NOT NULL 예제
SELECT *
FROM sample
WHERE name IS NOT NULL;

4. LIKE

• WHERE절 안에서 문자열의 일부분을 비교하는 '부분 검색'
• 문자열 비교 연산자를 사용하는 것처럼 정확하게 일치하지 않아도 사용 가능

SELECT 열1, 열2
FROM 테이블명
WHERE 열 LIKE 패턴;

• 두 가지 와일드카드 문자 사용
  • _: 한 글자만을 의미
  • %: 0글자부터 그 이상을 의미

👇 예시 코드

# a로 시작하는 모든 값
WHERE 열1 LIKE 'a%'

# a로 끝나는 모든 값
WHERE 열1 LIKE '%a'

# a가 있는 모든 값
WHERE 열1 LIKE '%a%'

# 두 번째 인덱스에 a가 있는 모든 값
WHERE 열1 LIKE '_a%'

# a로 시작하고 o로 끝나는 모든 값
WHERE 열1 LIKE 'a%o'

💡 %, _ 가 들어간 단어를 찾고 싶을 땐, 이스케이프 문자 백슬래시 \ 사용 

Java에서 문자열 앞 뒤의 공백을 제거하기 위한 메소드가 2가지가 있다

trim() 과 strip() 이 있는데, 이 두가지의 차이점을 알아볼 예정이다! 

1. trim()

코드 👇

// 앞 뒤로 공백이 있는 문자열
String str = "  안녕하세여~~  ";

// 공백 제거
String trimStr = str.trim();

System.out.println("원본 문자열: '" + str + "'");
System.out.println("trim 문자열: " + trimStr);

결과 👇

원본 문자열: '  안녕하세여~~  '
trim 문자열: 안녕하세여~~

2. strip()

코드 👇

// 앞 뒤로 공백이 있는 문자열
String str = "  안녕하세여~~  ";

// 공백 제거
String stripStr = str.strip();

System.out.println("원본 문자열: '" + str + "'");
System.out.println("strip 문자열: " + stripStr);

결과 👇

원본 문자열: '  안녕하세여~~  '
strip 문자열: 안녕하세여~~

strip() 메소드는 Java 11 이후 새롭게 추가된 메소드이다.

strip()과 trim() 메소는 둘 다 문자열 앞 뒤 공백을 모두 제거해준다.

3. stripLeading(), stripTrailing()

코드 👇

// 앞 뒤로 공백이 있는 문자열
String str = "  안녕하세여~~  ";

// 공백 제거
String stripLeadingStr = str.stripLeading();
String stripTrailingStr = str.stripTrailing();


System.out.println("원본 문자열: '" + str + "'");
System.out.println("stripLeading 문자열: '" + stripLeadingStr + "'");
System.out.println("stripTrailing 문자열: '" + stripTrailingStr + "'");

결과 👇

원본 문자열: '  안녕하세여~~  '
stripLeading 문자열: '안녕하세여~~  '
stripTrailing 문자열: '  안녕하세여~~'

Java11 이후로는 stripLeading(), stripTrailing()도 사용 가능하다

stripLeading() : 문자열 앞의 공백 제거

stripTrailing() : 문자열 뒤의 공백 제거

클라이언트와 서버가 통신할 때 HTTP 통신을 주로 사용한다.

HTTP 통신은 비연결성(connectionless), 무상태성(stateless), 단방향 통신이라는 특징을 가지고 있는데 이러한 HTTP 통신의 경우 채팅과 같은 실시간 통신에는 적합하지 않다.

물론 흉내는 낼 수 있으나 완벽하지는 않다. 실시간 통신이 필요한 경우 사용하는 통신을 소켓 통신 이라고 한다.

HTTP 통신과 다르게 연결을 맺고 바로 끊어버리는 것이 아니라 계속 유지하기 때문에 실시간 통신에 적합하다

 1. STOMP (Simple Text Oriented Messaging Protocol)

STOMP란? 

메시징 전송을 효율적으로 하기 위한 프로토콜로 PUB / SUB 기반으로 동작한다.

메시지의 발행자와 구독자가 존재하고, 메시지를 보내는 사람과 받는 사람이 구분되어 있다.

메시지 브로커는 발행자가 보낸 메시지를 구독자에게 전달해주는 역할을 한다.

STOMP 형식 

STOMP는 HTTP와 비슷하게 frame 기반 프로토콜 command, header, body로 이루어져 있다.

COMMAND
header1:value1
header2:value2

Body^@

• 클라이언트는 메시지를 전송하기 위해 COMMAND로 SEND 또는 SUBSCRIBE 명령을 사용하며 header와 value로 메시지의 수신 대상과 메시지에 대한 정보를 설명할 수 있다.
• 일반적으로는 아래의 형식을 따른다

"topic/.." -> publish-subscribe (1:N)
"queue/" -> point-to-point (1:1)


// ex) 클라이언트 A가 5번 채팅방 구독
SUBSCRIBE
destination: /topic/chat/room/5
id: sub-1

^@


// ex) 클라이언트B가 채팅 메시지 전송
SEND
destination: /pub/chat
content-type: application/json

{"chatRoomId": 5, "type": "MESSAGE", "writer": "clientB"} ^@

• STOMP 서버는 모든 구독자에게 메시지를 브로드캐스팅(BroadCasting)하기 위해 MESSAGE COMMAND를 사용할 수 있다.
• 서버는 내용을 기반으로 메시지를 전송할 브로커에게 전달한다.

MESSAGE
destination: /topic/chat/room/5
message-id: d4c0d7f6-1
subscription: sub-1

{"chatRoomId": 5, "type": "MESSAGE", "writer": "clientB"} ^@

• 서버는 불분명한 메시지를 전송할 수 없기 때문에 서버의 모든 메시지는 특정 클라이언트 구독에 응답해야 하고, 서버 메시지의 "subscription-id" 헤더는 클라이언트 구독 id 헤더와 일치해야 한다.

STOMP의 장점 

WebSocket만 사용해서 구현하면 해당 메시지가 어떤 요청인지, 어떤 포맷인지, 메시지 통신 과정을 어떻게 처리해야 하는지 정해져 있지 않아 일일이 구현해야 한다.

STOMP를 서브 프로토콜로 사용하면, 클라이언트와 서버가 서로 통신할 때 메시지의 형식, 유형, 내용 등을 정의해준다. 따라서 메시지 송수신에 대한 처리를 명확하게 정의할 수 있고 WebSocketHandler를 직접 구현할 필요 없이, 어노테이션을 사용하여 메시지 발행 시 엔드포인트를 별도로 분리하여 관리할 수 있다.

 2. Spring WebSocket STOMP

의존성 주입 

dependencies {
    implementation 'org.springframework.boot:spring-boot-starter-websocket'
}

WebSocket STOMP 설정 

WebSocketConfig.java

package com.example.messagingstompwebsocket;

import org.springframework.context.annotation.Configuration;
import org.springframework.messaging.simp.config.MessageBrokerRegistry;
import org.springframework.web.socket.config.annotation.EnableWebSocketMessageBroker;
import org.springframework.web.socket.config.annotation.StompEndpointRegistry;
import org.springframework.web.socket.config.annotation.WebSocketMessageBrokerConfigurer;

@Configuration
@EnableWebSocketMessageBroker // ①
public class WebSocketConfig implements WebSocketMessageBrokerConfigurer {

  @Override
  public void configureMessageBroker(MessageBrokerRegistry config) { // ④
    config.enableSimpleBroker("/topic"); // ⑤
    config.setApplicationDestinationPrefixes("/app"); // ⑥
  }

  @Override
  public void registerStompEndpoints(StompEndpointRegistry registry) { // ②
    registry.addEndpoint("/chattings"); // ③
  }

}

메시지 브로커

① 구독자는 특정 topic을 구독하고 발행자는 해당 topic으로 메시지를 날린다

② 메시지 브로커는 이 메시지를 관리하여 이를 구독 중인 구독자들에게 메시지를 보내준다.

③ 메시지를 바로 전달하는 것이 아니라 중간에 존재하는 메시지 브로커에게 전달하고 이 브로커가 구독자들에게 전달해주는 형태이다.

enableSimpleBroker

스프링 document에서 설명을 보면

Enable a simple message broker and configure one or more prefixes to filter destinations targeting the broker (e.g.

1. simple message broker을 활성화한다.

2. 브로커를 타겟으로하는 하나 이상의 접두사를 구성한다.

"/topic" 접두사가 붙은 경로는 브로커를 타겟으로 한다는 설정을 한 것이다.

🌟 즉, "/topic/..." 경로로 메시지를 보내면 이 메시지는 브로커를 향하게 되고, 브로커는 이 경로를 구독중인 구독자들에게 메시지를 발송한다.

setApplicationDestinationPrefixes

스프링 document에서 설명을 보면

Configure one or more prefixes to filter destinations targeting application annotated methods.

1. application annotated method를 타겟으로 하는 하나 이상의 접두사를 구성한다.

"/app" 접두사가 붙은 경로는 @MessageMapping 어노테이션이 붙은 곳을 타겟으로 한다는 설정을 한 것이다.

🌟 "/app/..." 경로로 메시지를 보내면 이 메시지는 @MessageMapping 어노테이션이 붙은 곳으로 향하게 된다.

@MessageMapping으로 이동하게 되면 그 곳에서 이 메시지를 가공할 수 있게 된다.

또한 @SendTo 어노테이션을 사용하여 메시지가 향할 곳을 정할 수 있다.

ChattingController 작성 

ChattingController.java

import com.jeongyuneo.springwebsocket.dto.ChattingRequest;
import com.jeongyuneo.springwebsocket.service.ChattingService;
import lombok.RequiredArgsConstructor;
import lombok.extern.slf4j.Slf4j;
import org.springframework.messaging.handler.annotation.DestinationVariable;
import org.springframework.messaging.handler.annotation.MessageMapping;
import org.springframework.messaging.simp.SimpMessagingTemplate;
import org.springframework.stereotype.Controller;

@Slf4j
@RequiredArgsConstructor
@Controller
public class ChattingController {

    private final SimpMessagingTemplate simpMessagingTemplate;  // ①

    @MessageMapping("/chattings/{chattingRoomId}/messages")  // ②
    public void chat(@DestinationVariable Long chattingRoomId, ChattingRequest chattingRequest) {  // ③
        simpMessagingTemplate.convertAndSend("/subscription/chattings/" + chattingRoomId, chattingRequest.getContent());
        log.info("Message [{}] send by member: {} to chatting room: {}", chattingRequest.getContent(), chattingRequest.getSenderId(), chattingRoomId);
    }
}

ChattingRequest.java

import lombok.*;

@Getter
@Builder
@AllArgsConstructor(access = AccessLevel.PROTECTED)
@NoArgsConstructor(access = AccessLevel.PROTECTED)
public class ChattingRequest {

    private Long senderId;
    private String content;
}

🌐 참고 링크

https://eoneunal.tistory.com/17

https://growth-coder.tistory.com/157

값 타입

int, String, Integer 처럼 단순히 값으로 사용하는 자바 기본 타입이나 객체.

값 타입 분류

• 기본값 타입
  • 자바 기본 타입(int, double)
  • 래퍼 클래스(Integer, Long)
  • String
• 임베디드 타입(Embedded type, 복합 값 타입)
• 컬렉션 값 타입(Collection value type)

값 타입 컬렉션

값 타입을 컬렉션에 담아서 사용하는 것을 값 타입 컬렉션이라고 한다!

//기본 값 타입 컬렉션
List<String> stringList = new ArrayList()<>;

//임베디드 값 타입 컬렉션
Set<Address> addressSet = new HashSet<>();

위와 같이 데이터베이스 안에 값 타입 컬렉션을 저장하고 싶을 땐 어떻게 해야할까?

@ElementCollection

JPA가 컬렉션 객체임을 알 수 있게 한다.

엔티티가 아닌 값 타입, 임베디드 타입에 대한 테이블을 생성하고 1:N 관계로 다룬다.

@CollectionTable

값 타입 컬렉션을 매핑할 테이블에 대한 역할을 지정하는 데 사용한다

테이블의 이름과 조인정보를 적어줘야 함.

값타입 컬렉션의 제약사항

• 값 타입은 Entity와 다르게 식별자 개념이 없다
• 값은 변경하면 추적이 어렵다
• 값타입 컬렉션에 변경 사항이 발생하면, 주인 Entity와 연관된 모든 데이터를 삭제하고, 값타입 컬렉션에 있는 현재 값을 모두 다시 저장한다.
• 값 타입 컬렉션을 매핑하는 테이블은 모든 컬럼을 묶어서 기본 키를 구성해야함. Not Null, 중복 저장 안됨

🏷️ 복잡하다면 다르게 풀어야 한다. (값 타입 컬렉션 대안)

• 실무에서는 상황에 따라 값 타입 컬렉션 대신 일대다 관계를 고려한다.
• 일대다 관계를 위한 Entity를 만들고, 여기에서 값 타입을 사용한다.
• 영속성 전이(CASCADE) + 고아 객체 제거를 사용하여 값 타입 컬렉션처럼 사용한다! 

그렇다면 값타입은 언제 쓸까?

진짜 단순할 때,,, 치킨 피자를 select box로 만들어서 사용할 때..

정리

• Entity 타입의 특징
  • 식별자 O (ID)
  • 생명주기 관리
  • 공유
• 값 타입의 특징
  • 식별자 X (ID)
  • 생명주기를 Entity에 의존
  • 공유하지 않는 것이 안전하다 (복사하여 사용)
  • 불변 객체로 만드는 것이 안전하다
• Entity와 값타입을 혼동해서 Entity를 값타입으로 만들면 안됨 !!! ⚠️
• 식별자가 필요하고, 지속해서 값을 추적 및 변경해야 한다면 값타입이 아닌 Entity

스프링 시큐리티를 사용하면
인증 / 인가를 편리하게 구현할 수 있다.

스프링 시큐리티란?

스프링 기반의 애플리케이션의 보안(인증과 권한, 인가 등)을 담당하는 스프링 하위 프레임워크! 

보안 언어 정리

✔️ 사용자가 게시글을 작성하기 위해 로그인을 했다 ? 👉 인증

✔️ 다른 사람이 작성한 게시글의 수정하기 버튼을 눌렀지만 수정할 수 없었다 👉 인가

사이트에 대해 유효한 사용자인지 확인하는 것이 인증이고, 인증된 사용자가 사용할 수 있는 기능인지 확인하는 것이 인가라고 생각하면 될 것 같다.! 그렇기 때문에 인증이 먼저 이루어지고, 인가가 이루어져야 한다.

서블릿 필터

스프링 시큐리티는 필터(Filter) 기반으로 동작하기 때문에 스프링 MVC와 분리되어 관리 및 동작한다.

사용자 요청이 서블릿에 전달되기 전, 스프링 시큐리티는 필터의 생명주기를 이용하여 인증과 권한 작업을 수행한다. 하지만 서블릿 컨테이너는 스프링 컨테이너에 등록된 빈을 인식할 수 없다.

아키텍처

Username과 Password 방식의 아키텍처는 아래와 같다.

스프링 시큐리티는 기본적으로 세션-쿠키 방식으로 인증한다.

1. 유저가 로그인 요청 (Http Request)
2. AuthenticationFilter 에서 UsernamePasswordAuthentication Token 을 생성하여 AuthenticationManager 에 전달
3. AuthenticationManager 은 등록된 AuthenticationProvider 들을 조회하여 인증 요구
4. AuthenticationProvider 은 UserDetailService 를 통해 입력받은 아이디에 대한 사용자 정보를 User(DB) 에서 조회
5. User 에 로그인 요청한 정보가 있는 경우 UserDetails 로 꺼내서 유저 session 생성
6. 인증이 성공된 UsernameAuthenticationToken 을 생성하여 AuthenticationManager 로 반환
7. AuthenticationManager 은 UsernameAuthenticationToken 을 AuthenticationFilter 로 전달
8. AuthenticationFilter 은 전달받은 UsernameAuthentication 을 LoginSuccessHandler 로 전송하고, spring security 인메모리 세션저장소인 SecurityContextHolder 에 저장
9. 유저에게 session ID 와 응답을 내려줌

 

📌 AuthenticationFilter

• 스프링 시큐리티는 연결된 필터를 가지고 있음
• 모든 Request는 인증과 인가를 위해 해당 필터를 통과
• SecurityContext에 사용자의 세션ID가 있는지 확인하고 세션ID가 없는 경우 다음 로직 수행
• 인증에 성공하는 경우, 인증된 Authentication 객체를 SecurityContext에 저장 후 AuthenticationSuccessHandler 실행
• 인증 실패하는 경우, AuthenticationFailureHandler 실행

 

 

📌 UsernamePasswordAuthenticationToken

• Authentication을 구현한 AbstractAuthentication Token의 하위 클래스
• principal 👉 username / credentials 👉 password
• UsernamePasswordAuthenticationToken(Object principal, Object credentials) : 인정 전의 객체를 생성
• UsernamePasswordAuthenticationToken(Object principal, Object credentials, Collection<? extends GrantedAuthority> authorities) : 인증 완료된 객체를 생성 

 

 

📌 AuthenticationManager

• Authentication을 만들고 인증을 처리하는 interface
• 로그인시 인자로 받은 Authentication을 Provider를 통해 유효한지 처리하여 Authentication 객체를 리턴한다

 

 

📌 ProviderManager

• AuthenticatoinManager의 구현체
• 사용자 요청을 인증에 필요한 AuthenticatoinProvider를 살펴보고 전달된 인증 객체를 기반으로 사용자 인증 시도

 

 

📌 AuthenticationProvider

• 실제 인증을 담당하는 인터페이스
• 인증 전 Authentication 객체를 받아서 DB에 있는 사용자 정보를 비교하고 인증된 객체를 반환

 

 

📌 UserDetailsService

• DB에서 유저 정보를 가져오는 역할
• loadUserByUsername() 메소드를 통해서 DB에서 유저 정보를 가졍돈다.
• 커스텀하게 사용하고 싶다면 해당 interfacee를 implements 받아서 loadUserByUsername() 메소드를 구현하면 됨

 

 

📌 UserDetails

• 사용자의 정보를 담는 인터페이스

메소드	설명
getAuthorities()	계정의 권한 목록을 리턴
getPassword()	계정의 비밀번호 리턴
getUsername()	계정의 고유한 값 리턴
isAccountNonExpired()	계정의 만료 여부 리턴
isAccountNonLocked()	계정의 잠김 여부 리턴
isCredentialsNonExpired()	비밀번호 만료 여부 리턴
isEnabled()	계정의 활성화 여부 리턴

 

 

📌 SecurityContextHolder

 

• SecurityContext를 현재 스레드와 연결 시켜주는 역할
• 스프링 시큐리티는 같은 스레드의 어플리케이션 내 어디서든 SecurityContextHolder의 인증 정보를 확인 가능하도록 구현되어 있는데 이 개념을 ThreadLocal 이라고 한다.

 

 

📌 SecurityContext

• Authentication의 정보를 가지고 있는 interface
• SecurityContextHolder.getContext()를 통해 얻을 수 있다

 

 

📌 Authentication

• 현재 접근하는 주체의 정보와 권한을 담는 인터페이스
• AuthenticationManager.authenticate(Authentication)에 의해 인증된 principal 혹은 token

이름	설명
principal	사용자 정보
authorities	사용자에게 부여된 권한 ex) ROLE_ADMIN
credentials	자격 증명

 

 

Controller에서 사용하는 @RequestParam 어노테이션과 @PathVariable의 차이에 대해 작성해볼 예정이다!

@RequestParam과 @PathVariable의 공통점

Request URI를 통해 전달된 값을 파라미터로 받아오는 역할을 한다.

@RequestParam과 @PathVariable의 차이점

값을 얻는 방식에서 차이가 있다! 

• 위 예시에서 첫번째와 같은 방식은, 쿼리스트링을 사용하여 여러 개의 값을 전달받기 때문에 @RequestParam을 통해 받아와야 한다.
• 두번째 방식은 @PathVariable을 사용하여 받아올 수 있다.

@RequestParam

• Query String으로부터 값을 얻는다. 🌟key = value 형태임
• http://localhost:8080/board?id=1

@GetMapping("/board")
public ResponseEntity<ReadResponse> read(@RequestParam Long id) {
    BoardResponse response = BoardAssembler
        .readResponse(boardService.read(BoardAssembler.readRequestDto(id)));
    
    return ResponseEntity.ok(response);
}

• get요청을 받으면 쿼리스트링을 통해 전달된 id값을 받아와서 @RequestParam이 파라미터인 Long id에 대입해준다.

@PathVariable

• URI path로부터 값을 얻는다
• 어떤 요청이든 하나만 사용 가능! 🌟
• @RequestParam과는 다르게 default 값을 설정하지 않는다.
• http://localhost:8080/board/1

@GetMapping("/board/{id}")
public ResponseEntity<ReadResponse> read(@PathVariable Long id) {
    ReadResponse response = BoardAssembler
        .readResponse(boardService.read(BoardAssembler.readRequestDto(id)));

    return ResponseEntity.ok(response);
}

정리 및 요약

• @RequestParam과 @PathVariable은 둘 다 데이터를 받아오는 데 사용된다
• @PathVariable은 값을 하나만 받아올 수 있으므로, 쿼리스트링을 이용하여 여러 개의 데이터를 받아올 땐 @RequestParam을 사용한다
• default 값을 설정하고 싶을 땐 @RequestParam을 사용하면 된다.

 1. JWT 토큰이란?

1. 모바일이나 웹에서 클라이언트와 서버 간 통신 시, 사용자의 인증을 위해 사용하는 암호화된 토큰
2. 토큰 자체에 사용자의 권한 정보나 서비스를 사용하기 위한 정보가 포함된다.
3. RESTful과 같은 Stateless인 환경에서도 사용자의 데이터를 주고받을 수 있게 된다.
4. 세션을 사용하게 될 경우 쿠키 등을 통해 사용자를 식별하고 서버에 세션을 저장했지만, 토큰을 클라이언트에 저장하고 요청시 HTTP 헤더에 토큰을 첨부하는 것만으로도 단순하게 데이터를 요청하고 응답받을 수 있다.
5. JWT를 도입하여 액세스 토큰 및 리프레시 토큰을 사용해 톰큰 유효성 검사를 하여 사용자를 인증할 수 있음

 2. JWT 구조

JWT는 Header, Payload, Signature로 구성되며, 각 요소는 .으로 구분된다

Header

Header에는 JWT에서 사용할 타입과 해시 알고리즘의 종류가 담겨있다.

1. alg : 서명 암호화 알고리즘(ex: HMAC SHA256, RSA)
2. typ : 토큰 유형

Payload

토큰에서 사용할 정보의 조각들인 Claim(key-value 형식으로 이루어진 한 쌍의 정보)이 담겨있다. 즉, 서버와 클라이언트가 주고받는 시스템에서 실제로 사용될 정보에 대한 내용을 담고있는 섹션! JWT 발급, 만료일 등 명시 

페이로드는 정해진 데이터 타입은 없지만, 대표적으로 Registered claims, Public claims, Private claims 이렇게 세 가지로 나뉨.

Signature

Header, Payload를 Base64 URL-safe Encode한 이후, Header에서 정의한 알고리즘 방식(alg)을 적용하고, 개인키(Private key)로 서명한 전자서명이 담겨있다. 이는 Header와 Payload가 변조되었는지 확인하기 위해 사용되는 중요 정보이며, JWT를 신뢰할 수 있는 토큰으로 사용할 수 있는 근거가 된다.

💡Header와 Payload는 단순히 인코딩된 값이기 때문에 제 3자가 복호화 및 조작할 수 있지만, Signature는 서버 측에서 관리하는 비밀키가 유출되지 않는 이상 복호화할 수 없다. 그렇기 때문에 Signature은 토큰의 위변조 여부를 확인하는데 사용된다. 

 3. JWT 인코딩 / 디코딩

아래 공식 사이트에서 쉽게 JWT 토큰을 인코딩(생성) 하거나 디코딩 할 수 있다.

 4. JWT를 이용한 인증 과정

① 사용자가 ID, PW를 입력하여 서버에 로그인 인증을 요청한다.

② 서버에서 클라이언트로부터 인증 요청을 받으면, Header, Payload, Signature를 정의한다. Header, Payload, Signature를 각각 Base64로 한 번 더 암호화하여 JWT를 생성하고 이를 쿠키에 담아 클라이언트에게 발급한다.

③ 클라이언트는 서버로부터 받은 JWT를 로컬 스토리지에 저장한다. (쿠키나 다른 곳에 저장할 수도 있음). API를 서버에 요청할 때 Authorization header에 Access Token을 담아서 보낸다.

④ 서버가 할 일은 클라이언트가 Header에 담아서 보낸 JWT가 내 서버에서 발행한 토큰인지 일치 여부를 확인하고, 일치한다면 인증 통과시켜주고 아니라면 통과시키지 않으면 된다. 인증이 통과되면 payload에 들어있는 유저의 정보들을 select해서 클라이언트에 돌려준다

⑤ 클라이언트가 서버에 요청했는데, 만약 Access Token의 시간이 만료되면 클라이언트는 Refresh Token을 이용해서

⑥ 서버로부터 새로운 액세스 토큰을 발급 받는다. 

JWT은 서명(인증)이 목적이다.

JWT는 Base64로 암호화를 하기 때문에 디버거를 사용해서 인코딩된 JWT를 1초만에 복호화할 수 있다.
복호화 하면 사용자의 데이터를 담은 Payload 부분이 그대로 노출되어 버린다.
그래서 페이로드에는 비밀번호와 같은 민감한 정보는 넣지 말아야 한다.
그럼 토큰 인증 방식 자체가 빛 좋은 개살구라고 생각할수도 있지만, 토큰의 진짜 목적은 정보 보호가 아닌, 위조 방지이다.
바로 위에서 소개했듯이, 시그니처에 사용된 비밀키가 노출되지 않는이상 데이터를 위조해도 시그니처 부분에서 바로 걸러지기 때문이다.

 5. JWT 장점

1. Header와 Payload를 가지고 Signature를 생성하므로 데이터 위변조를 막을 수 있다
2. 인증 정보에 대한 별도의 저장소가 필요없다
3. JWT는 토큰에 대한 기본 정보와 전달할 정보 및 토큰이 검증되었음을 증명하는 서명 등 필요한 모든 정보를 자체적으로 지니고 있다.
4. 클라이언트 인증 정보를 저장하는 세션과 다르게, 서버는 무상태(Stateless)가 되어 서버 확장성이 우수해질 수 있다.
5. 토큰 기반으로 다른 로그인 시스템에 접근 및 권한 공유가 가능하다. (쿠키와 차이)
6. OAuth의 경우 Facebook, Google 등 소셜 계정을 이용하여 다른 웹서비스에서도 로그인 가능
7. 모바일 어플리케이션 환경에서도 잘 동작함. (모바일은 세션 사용 불가능)

 6. JWT 단점

1. Self-contained: 토큰 자체에 정보를 담고 있으므로 양날의 검이 될 수 있다
2. 토큰 길이 : Payload에 3가지 종류의 클레임을 저장하기 때문에, 정보가 많아질수록 토큰의 길이가 늘어나 네트워크에 부하를 줄 수 있음
3. Payload 인코딩 : payload 자체는 암호화된 것이 아니라 Base64로 인코딩 된 것이기 때문에, 중간에 payload를 탈취하여 디코딩하면 데이터를 볼 수 있으므로 payload에 중요 데이터를 넣지 않아야 함!
4. Store Token : stateless 특징을 가지고 있어 토큰은 클라이언트 측에서 관리하고 저장함. 때문에 토큰 자체를 탈취당하면 대처하기 어렵다. 

 7. JWT의 Access Token과 Refresh Token

JWT도 제3자에게 토큰 탈취의 위험성이 있기 때문에, 그대로 사용하는 것이 아닌 Access Token, Refresh Token으로 이중으로 나누어 인증하는 방식을 사용한다. 

💡 Access Token 과 Refresh Token은 둘다 똑같은 JWT이다.
토큰이 어디에 저장되고 관리되느냐에 따른 사용 차이일 뿐이다!

🌐참고 링크

https://inpa.tistory.com/entry/WEB-%F0%9F%93%9A-JWTjson-web-token-%EB%9E%80-%F0%9F%92%AF-%EC%A0%95%EB%A6%AC