JWT vs. Opaque Tokens 비교

Martin Hong
3 min readJun 22, 2023

Gints Dreimanis의 “JWT vs. Opaque Tokens”라는 기사를 한글로 정리하고 비교요약 표를 만들어봤습니다.

JSON 웹 토큰 (JWT) vs. 불투명 토큰 (Opaque Tokens):
차이점, 사용 사례, 적용

인터넷의 인증과 권한 부여 과정은 토큰에 의해 운용됩니다. 가장 널리 사용되는 토큰은 JSON 웹 토큰(JWTs)과 불투명 토큰입니다. 두 토큰 모두 유사점이 있지만 고려해야 할 핵심 차이점이 있습니다.

JWTs와 Opaque 토큰을 사용해야 하는 이유

JWTs와 불투명 토큰은 간단한 식별 및 접근 관리 방법보다 여러 가지 장점을 제공합니다. 세 번째 당사자에게 신원이나 권한을 공유하도록 하고, 세분화된 접근 제어를 가능하게 하며, OAuth 2.0 프로토콜을 준수하여 세 번째 당사자에게 특정 작업을 위임하게 합니다.

JWTs와 Opaque 토큰의 차이점

JWT는 발행자의 서명에 의해 인증된 주장과 정보를 포함하는 JSON 문자열입니다. 이는 기본적으로 암호화되지 않은 상태로 제공되지만 JSON 웹 암호화 (JWE) 표준을 통해 암호화될 수 있습니다. 그러나 Opaque 토큰과는 달리 누구나 암호화되지 않은 JWT를 해석할 수 있습니다. JWT는 무상태이며 자체 포함형이므로 서명 키를 제외한 모든 정보를 포함하고 있습니다. 이는 사용자가 중앙 서비스를 참조하지 않고도 다른 서버에서 토큰을 사용할 수 있게 합니다.

반대로, Opaque 토큰은 일반적으로 해독할 수 없는 문자열로, 이 형식은 토큰의 발행자가 선택합니다. 클라이언트는 권한 서버와 상호 작용하지 않고는 토큰의 내용을 읽을 수 없습니다.

JWT 대신 Opaque 토큰을 사용해야 하는 경우

다음의 경우에 불투명 토큰을 사용하는 것이 더 좋습니다:

1. 민감한 정보 전송 시: JWT는 기본적으로 인코딩되지만 암호화되지 않으므로, 가로채지 않으면 읽을 수 있습니다. 민감한 데이터에 대해, 기본적으로 읽을 수 없는 불투명 토큰을 사용하는 것이 보통 더 좋은 선택입니다.

2. 토큰 철회 시: JWT는 자체 포함형이므로 발급된 후에 변경할 수 없습니다. 반대로 불투명 토큰은 서버에 저장되므로 필요한 경우 즉시 철회할 수 있습니다. 따라서, 불투명 토큰은 권한과 세션 데이터를 오랫동안 저장할 때 더 좋습니다.

3. 페이로드 크기 고려 시: 큰 토큰은 많은 대역폭을 소비할 수 있습니다. 불투명 토큰은 데이터를 서버 측에 저장하므로, 발행된 문자열만 전송하면 되므로 대역폭을 절약할 수 있습니다.

JWT를 사용하는 잠재적인 이점

그러나 JWT에는 몇 가지 이점이 있습니다. 이는 토큰 세부 정보에 대해 권한 서버를 쿼리하는 것이 병목 현상을 일으킬 수 있는 분산 시스템에서 적합합니다. 또한, 사용 사례가 단순하고 민감한 정보를 전송할 필요가 없거나 토큰을 철회할 필요가 없는 경우에도 좋은 선택입니다.

결론

작고 민감하지 않은 토큰이며, 철회할 필요가 없는 경우 JWT를 선택하세요. 민감한 데이터를 포함하는 토큰, JWT보다 더 많은 데이터를 포함하는 토큰, 쉽게 철회해야 하는 토큰에는 불투명 토큰이 가장 적합합니다.

더 많은 인증 및 권한 부여 정보를 얻으려면 OAuth 2.0의 공식 페이지를 확인하고, 다양한 기능을 제공하는 오픈 소스 신원 관리 플랫폼인 ZITADEL을 고려해 보세요.

참고 출처 : https://zitadel.com/blog/jwt-vs-opaque-tokens

Sign up to discover human stories that deepen your understanding of the world.

Free

Distraction-free reading. No ads.

Organize your knowledge with lists and highlights.

Tell your story. Find your audience.

Membership

Read member-only stories

Support writers you read most

Earn money for your writing

Listen to audio narrations

Read offline with the Medium app

Martin Hong
Martin Hong

Written by Martin Hong

CAIO, LLM Architect, Tech Product Owner, Educator, Visionary, https://www.linkedin.com/in/martin-hong-sw/

No responses yet

What are your thoughts?

Recommended from Medium

Lists

See more recommendations