JWT의 장점

• JWT 의 주요한 이점은 사용자 인증에 필요한 모든 정보는 토큰 자체에 포함하기 때문에 별도의 인증 저장소가 필요 없습니다.
• 쿠키를 전달하지 않아도 되므로 쿠키를 사용함으로써 발생하는 취약점이 사라집니다.
• URL 파라미터와 헤더로 사용
• 트래픽 대한 부담이 낮음
• REST 서비스로 제공 가능
• 내장된 만료
• 독립적인 JWT

JWT의 단점

• Self-contained: 토큰 자체에 정보를 담고 있으므로 양날의 검이 될 수 있습니다.
• 토큰 길이: 토큰의 페이로드(Payload)에 3종류의 클레임을 저장하기 때문에, 정보가 많아질수록 토큰의 길이가 늘어나 네트워크에 부하를 줄 수 있습니다.
• Payload 인코딩: 페이로드(Payload) 자체는 암호화 된 것이 아니라, BASE64로 인코딩 된 것입니다. 중간에 Payload를 탈취하여 디코딩하면 데이터를 볼 수 있으므로, JWE로 암호화하거나 Payload에 중요 데이터를 넣지 않아야 합니다.
• Stateless: JWT는 상태를 저장하지 않기 때문에 한번 만들어지면 제어가 불가능합니다. 즉, 토큰을 임의로 삭제하는 것이 불가능하므로 토큰 만료 시간을 꼭 넣어주어야 합니다.
• Tore Token: 토큰은 클라이언트 측에서 관리해야 하기 때문에, 토큰을 저장해야 합니다.

인증

사용자가 누구인지 확인하는 절차.- 건물 출입이 가능한 사람인지 확인

삼성전자 직원입니까? → 정직원 바로 출입 가능

방문자인가요? → 정직원이 아님. 출입증을 통해 인증받아야 함.

본인 휴대폰 인증 PASS, 본인인증문자서비스

인가

사용자가 요청하는 요청을 실행할 수 있는 권한 여부를 확인하는 절차.- 출입할 수 있는 건물 공간이 어디까지 인가?

건물 관리자입니까? → 모든 공간에 출입 가능

방문자인가요? → 허용된 공간만 입장 가능함. 일부 공간 접근 불가 (ex. 관계자 외 출입 불가 지역)

은행에 대출 신청 과정 → 은행으로부터 돈을 빌리는 걸 신청하면 은행에서 검토후 승인을 해준 후 인가를 해준다.

구청, 시청, 군청에서 발급해주는 인허가

ORM(Object Relational Mapping)

• Application의 객체(클래스)를 DB의 테이블로 Mapping 한다는 개념
• 클래스와 DB의 테이블은 기존부터 호환가능성을 염두해두고 만들어진 것이 아니기 때문에 불일치 발생이 당연
• 이러한 불일치를 해결하며 객체와 테이블의 관계를 바탕으로 SQL 문장을 자동으로 생성하여 객체로 DB를 조작하게 해주는 것이 ORM

ORM이 하는일

# JPA(Java Persistence API)

• JAVA진영의 표준 ORM
• 인터페이스, 구체 클래스는 거의 없음.

# Hiberante

• JPA를 implements 해 구현한 class 라이브러리
• DataNucleus, EclipseLink 등 JPA를 구현한 다른 라이브러리도 있다.

# Spring Data JPA

• JPA를 한 단계 더 추상화시킨 인터페이스(Repository) 겸 클래스
• Spring Application과 호환이 편하다.

# JPA, Hibernate, Spring Data JPA, ORM 개념도

JPA, Hibernate, Spring Data, ORM 개념도