[TIL] 코드가 돌아간다고 제대로 구현된 것 X (jwt)

내가 구현한 JWT 토큰의 문제점

 

기존에 토큰을 발행할 때...

• base64_encode($header . '.' . $payload . '.' . $signature);
• 이런 식으로 헤더, 페이로드, 서명을 합친 후 base64 인코딩을 진행하였음
• 그결과.... 로그인이 잘 구현되는 듯 보였음
• 그러다가 이것저것 찾아보던 도중
• 위의 코드처럼 토큰을 발급하면 JWT 규격에 어긋나는 사실을 깨닫게 됨
• 하여 공식 홈페이지인 https://jwt.io/introduction의 내용을 참조하여 하나 하나 찾아보려고 생각하고 기존에 발행된 토큰을 확인해 봄

eyJhbGciOiJzaGEyNTYiLCJ0eXAiOiJKV1QifS57ImV4cCI6MTcwMDAyMDY3MCwiaWF0IjoxNzAwMDE3MDcwLCJpZCI6ImFkbWluIiwibmFtZSI6Ilx1YWQwMFx1YjlhY1x1Yzc5MCJ9LmRhNTYwNWRkZDc0MWNkNDhlYzdlODZjMWQ3NWVhODg1M2NhZWU5MDcwZmZmNjVlYzMxNjZkNjViYmJjZmZkOGQ%3D

 

• 그결과.... 로그인 구현이 된것 처럼 보였지만..
• 실제로는 위에서 보이는 것처럼

(헤더 . 페이로드 . 서명) 으로 나누어지지 않은 점(.)이 없는 토큰이 생겼음
제대로된 JWT 가 아닌 이상한? 것이 구현된 것

 

• 코드가 제대로 구현된 것 처럼 생각된건 그저, 잘못된 encoding 방식을 역으로 잘못된 decoding 방식으로 풀어내서 결과가 같았을 뿐

---

문제점은 다음과 같음

• 토큰에대한 이해가 부족했던 것

• 헤더 . 페이로드 . 서명을 합친 후에 인코딩 하는 것이 아닌, 각각을 인코딩 하고 나서 합쳐줘야 했던 것 !!
• base64가 아닌 base64(UrlSafe)로 인코딩과 디코딩을 해줘야 하는 것 !!
• 또한 서명에 들어가는 헤더와 페이로드도, 그냥 들어가는 것이 아닌 각각 base64(UrlSafe)인코딩 후 합쳐서 넣어줘야 했던 것!
• 위의 3가지 큰 오류로 인하여 이상한 것이 만들어짐

 

• 코드를 수정하고 나서 결과를 다시 JWT를 발급해본 결과

eyJhbGciOiJzaGEyNTYiLCJ0eXAiOiJKV1QifQ.eyJleHAiOjE3MDAwMzQ4NDUsImlhdCI6MTcwMDAzMTI0NSwiaWQiOiJhZG1pbiIsIm5hbWUiOiJcdWFkMDBcdWI5YWNcdWM3OTAifQ.OWMyN2FkN2NlOTBjYzI5MzdiYTE3YTE5Y2I5ZjQyYTRjZjlhYzExZDhiM2U3N2FkYjk3YmQ0MmE0NjMwZjAzNA

• 위와 같이 .으로 나눠진 3등분된 결과가 나오는 것을 확인할 수 있었음
• 또한 나온 결과를 jwt.io에 붙여넣어봤을때 제대로 디코딩되는 것을 볼 수 있었음

---

자세한 결과는 아래의 글에서

모의 해킹 스터디 -  3주차 과제 (3-3Re) JWT 구현 (로그인 유지) 수정본

모의 해킹 스터디 - 과제 03주차(3-3Re) JWT 구현 (로그인 유지)

---

코드가 돌아간다고 제대로 구현된 것이 아니란 것을 생각.....