JWT, API

🟨 JWT

JWT는 JSON Web Token의 약자로 당사자 간에 정보를 JSON 개체로 안전하게 전송하기 위한 간결하고 자체 포함된 방법을 정의하는 개방형 표준이다. 이 정보는 디지털 서명되어 있으므로 확인하고 신뢰할 수 있다. JWT는 비밀( HMAC 알고리즘 사용) 또는 RSA 를 사용하는 공개/개인 키를  사용하여 서명할 수 있다.

• Compact : 크기 때문에 URL, POST 매개변수 또는 HTTP 헤더 내부를 통해 보낼 수 있다. 또한 크기 때문에 전송 속도가 빠르다.
• 자체 포함 : 페이로드에는 데이터베이스를 두 번 이상 쿼리하지 않도록 사용자에 대한 모든 필수 정보가 포함된다.

JWT 구조

JWT는 다음과 같이 점( )으로 구분된 세 부분으로 구성된다.

xxxxx.yyyyy.zzzzz

• Header :  토큰의 타입과 해시 암호화 알고리즘으로 구성되어 있다. 첫째는 토큰의 유형 (JWT)을 나타내고, 두 번째는 HMAC, SHA256 또는 RSA와 같은 해시 알고리즘을 나타내는 부분이다.
• Payload : 토큰에 담을 클레임(claim) 정보를 포함하고 있다. Payload 에 담는 정보의 한 ‘조각’ 을 클레임이라고 부르고, 이는 name / value 의 한 쌍으로 이뤄져있다. 토큰에는 여러개의 클레임 들을 넣을 수 있다. 클레임의 정보는 등록된 (registered) 클레임, 공개 (public) 클레임, 비공개 (private) 클레임으로 세 종류가 있다.
• Signature: secret key를 포함하여 암호화되어 있다.

JWT PROCESS

1. 사용자가 id와 password를 입력하여 로그인을 시도합니다.

2. 서버는 요청을 확인하고 secret key를 통해 Access token을 발급합니다.

3. JWT 토큰을 클라이언트에 전달 합니다.

4. 클라이언트에서 API 을 요청할때  클라이언트가 Authorization header에 Access token을 담아서 보냅니다.

5. 서버는 JWT Signature를 체크하고 Payload로부터 사용자 정보를 확인해 데이터를 반환합니다.

6. 클라이언트의 로그인 정보를 서버 메모리에 저장하지 않기 때문에 토큰기반 인증 메커니즘을 제공합니다.

인증이 필요한 경로에 접근할 때 서버 측은 Authorization 헤더에 유효한 JWT 또는 존재하는지 확인한다.

JWT에는 필요한 모든 정보를 토큰에 포함하기 때문에 데이터베이스과 같은 서버와의 커뮤니케이션 오버 헤드를 최소화 할 수 있습니다.

Cross-Origin Resource Sharing (CORS)는 쿠키를 사용하지 않기 때문에 JWT를 채용 한 인증 메커니즘은 두 도메인에서 API를 제공하더라도 문제가 발생하지 않습니다.

일반적으로 JWT 토큰 기반의 인증 시스템은 위와 같은 프로세스로 이루어집니다.

처음 사용자를 등록할 때 Access token과 Refresh token이 모두 발급되어야 합니다.

---

🟨 API

API는 Application Programming Interface 의 약자로 두 애플리케이션이 서로 통신할 수 있도록 하는 소프트웨어 중개자이다. Facebook과 같은 앱을 사용하거나 인스턴트 메시지를 보내거나 휴대전화로 날씨를 확인할 때마다 API를 사용하고 있다.

API가 사용되는 이유

API는 데이터 공유 및 사전 정의된 프로세스 실행을 중심으로 구축된 설계된 기능을 수행하기 위해 애플리케이션을 함께 가져오는 데 필요하다 . 그들은 중간 사람으로 작동하여 개발자가 사람들과 기업이 매일 사용하는 다양한 응용 프로그램 간에 새로운 프로그래밍 방식의 상호 작용을 구축할 수 있도록 한다.

API 유형

1. private API
: private API는 내부 API로, 회사 개발자가 자체 제품과 서비스를 개선하기 위해 내부적으로 발행한다. 따라서 제 3자에게 노출되지 않는다.

2. public API
: public API는 개방형 API로, 모두에게 공개된다. 누구나 제한 없이 API를 사용할 수 있는 게 특징이다.

3. partner API
:partner API는 기업이 데이터 공유에 동의하는 특정인들만 사용할 수 있다. 비즈니스 관계에서 사용되는 편이며, 종종 파트너 회사 간에 소프트웨어를 통합하기 위해 사용된다.

API PROCESS

API 아키텍처는 일반적으로 클라이언트와 서버 측면에서 설명됩니다. 요청을 보내는 애플리케이션을 클라이언트라고 하고 응답을 보내는 애플리케이션을 서버라고 합니다. 따라서 날씨 예에서 기상청의 날씨 데이터베이스는 서버이고 모바일 앱은 클라이언트입니다. 

API가 생성된 시기와 이유에 따라 API는 네 가지 방식으로 작동할 수 있습니다.

SOAP API 

이 API는 단순 객체 접근 프로토콜을 사용합니다. 클라이언트와 서버는 XML을 사용하여 메시지를 교환합니다. 과거에 더 많이 사용되었으며 유연성이 떨어지는 API입니다.

RPC API

이 API를 원격 프로시저 호출이라고 합니다. 클라이언트가 서버에서 함수나 프로시저를 완료하면 서버가 출력을 클라이언트로 다시 전송합니다.

Websocket API

Websocket API는 JSON 객체를 사용하여 데이터를 전달하는 또 다른 최신 웹 API 개발입니다. WebSocket API는 클라이언트 앱과 서버 간의 양방향 통신을 지원합니다. 서버가 연결된 클라이언트에 콜백 메시지를 전송할 수 있어 REST API보다 효율적입니다.

REST API

오늘날 웹에서 볼 수 있는 가장 많이 사용되고 유연한 API입니다. 클라이언트가 서버에 요청을 데이터로 전송합니다. 서버가 이 클라이언트 입력을 사용하여 내부 함수를 시작하고 출력 데이터를 다시 클라이언트에 반환합니다. 

API 사용방법

1.API 키를 받습니다. API 공급 업체의 확인을 받은 계정을 생성하면 됩니다.

2.HTTP API 클라이언트를 설정합니다. 이 도구를 사용하면 수신된 API 키를 사용하여 API 요청을 쉽게 구성할 수 있습니다.

3.API 클라이언트가 없는 경우 API 설명서를 참조하여 브라우저에서 요청을 직접 구성할 수 있습니다.

4.새 API 구문에 익숙해지면 코드에서 이를 사용하기 시작할 수 있습니다.

---

🟨 JWT와 API

JWT	API
- 토큰이 자체에 포함 - API가 트랜잭션을 보호하고 토큰 소유자의 권한을 결정하는 데 필요한 정보가 포함 - 사용자 수준 액세스를 제공 -  사용자의 권한을 결정하기 위해 만료 날짜 및 사용자 식별자와 같은 정보가 포함될 수 있음	- 고유성을 사용하여 초기 액세스 권한을 얻음 - 중앙 테이블에서 키의 관련 ACL을 찾아 키가 액세스 권한을 부여하는 대상을 정확히 결정해야 함 - 일반적으로 API 키는 모든 사용자에게 동일한 액세스 권한을 부여하는 애플리케이션 수준 보안만 제공

---

🟨출처 및 참고자료

https://jwt.io/introduction/

JWT.IO

http://www.opennaru.com/opennaru-blog/jwt-json-web-token/

JWT (JSON Web Token) 이해하기와 활용 방안 - Opennaru, Inc.

https://aws.amazon.com/ko/what-is/api/

API란 무엇인가요? - API 초보자를 위한 가이드 - AWS

https://www.algolia.com/blog/engineering/api-keys-vs-json-web-tokens/

API keys vs JWT authorization: Which is best?