PHP와 JWT를 이용한 토큰 기반 인증 시스템 구현 🔐

안녕하세요, 여러분! 오늘은 정말 흥미진진한 주제로 여러분과 함께 시간을 보내려고 해요. 바로 PHP와 JWT를 이용한 토큰 기반 인증 시스템 구현에 대해 알아볼 거예요. 😃 이 주제가 조금 어렵게 들릴 수도 있지만, 걱정 마세요! 제가 쉽고 재미있게 설명해드릴게요.

우리가 일상생활에서 자주 사용하는 웹 서비스들, 예를 들어 재능넷(https://www.jaenung.net)과 같은 재능 공유 플랫폼에서도 이러한 인증 시스템이 사용되고 있어요. 여러분이 로그인할 때마다, 뒤에서는 이런 복잡한 과정들이 일어나고 있답니다!

자, 그럼 우리의 흥미진진한 여정을 시작해볼까요? 🚀

1. 인증 시스템의 기본 개념 🔑

먼저, 인증 시스템이 무엇인지 알아볼까요? 인증 시스템은 마치 우리가 집에 들어갈 때 열쇠를 사용하는 것과 비슷해요. 웹사이트나 앱에서 우리가 누구인지 확인하고, 우리가 접근할 수 있는 정보와 기능을 결정하는 중요한 역할을 해요.

🔍 인증(Authentication)과 인가(Authorization)의 차이:

인증(Authentication): "너 누구야?" - 사용자의 신원을 확인하는 과정
인가(Authorization): "너 여기 들어와도 돼?" - 인증된 사용자에게 특정 리소스에 대한 접근 권한을 부여하는 과정

전통적인 인증 방식에서는 사용자가 로그인할 때마다 서버에 사용자 정보를 저장하고, 세션을 유지했어요. 하지만 이 방식은 여러 가지 문제가 있었죠. 😓

서버에 부하가 많이 걸림
여러 서버를 사용하는 경우 세션 관리가 복잡해짐
모바일 앱 등 다양한 플랫폼에서 사용하기 어려움

이러한 문제를 해결하기 위해 등장한 것이 바로 토큰 기반 인증 시스템이에요! 🎉

토큰 기반 인증 시스템에서는 사용자가 로그인하면 서버가 토큰을 발급해줘요. 이 토큰은 마치 임시 출입증과 같아요. 사용자는 이 토큰을 가지고 서버에 요청을 보낼 때마다 함께 전송하죠. 서버는 이 토큰을 확인해서 사용자를 인증하고 필요한 정보를 제공해요.

이제 우리는 이 토큰 기반 인증 시스템을 PHP와 JWT를 이용해 구현해볼 거예요. 준비되셨나요? 다음 섹션에서 계속해서 알아보도록 해요! 💪

2. PHP란 무엇인가? 🐘

자, 이제 우리의 주인공 중 하나인 PHP에 대해 알아볼 차례예요! PHP는 "PHP: Hypertext Preprocessor"의 약자로, 웹 개발에 널리 사용되는 서버 사이드 스크립트 언어예요. 🌐

📌 PHP의 주요 특징:

서버 사이드 언어: 서버에서 실행되어 동적인 웹 페이지를 생성
쉬운 학습 곡선: 초보자도 비교적 쉽게 배울 수 있는 언어
다양한 데이터베이스 지원: MySQL, PostgreSQL 등 다양한 DB와 연동 가능
풍부한 라이브러리: 다양한 기능을 제공하는 많은 라이브러리 보유

PHP는 1994년 Rasmus Lerdorf가 개인 홈페이지를 관리하기 위해 만든 것에서 시작되었어요. 그 이후로 계속 발전해 현재는 웹 개발에서 가장 인기 있는 언어 중 하나가 되었죠. 😎

재능넷과 같은 웹사이트들도 PHP를 사용해 개발되었을 가능성이 높아요. PHP는 특히 동적인 웹 페이지를 만드는 데 탁월하기 때문이죠!

위 그림은 PHP의 기본적인 동작 방식을 보여줘요. 클라이언트(브라우저)가 서버에 요청을 보내면, 서버의 PHP 엔진이 이를 처리하고 결과를 HTML 형태로 클라이언트에게 보내주는 거죠.

PHP로 간단한 "Hello, World!" 프로그램을 만들어볼까요? 아래 코드를 보세요:


<?php
  echo "Hello, World!";
?>

정말 간단하죠? 이 코드를 실행하면 웹 페이지에 "Hello, World!"가 출력돼요. PHP 코드는 <?php 로 시작해서 ?>로 끝나는 것을 기억해주세요!

PHP는 이렇게 간단한 출력부터 복잡한 데이터베이스 처리, 파일 조작, 네트워크 통신 등 다양한 작업을 할 수 있어요. 우리가 만들 토큰 기반 인증 시스템도 PHP의 이런 강력한 기능들을 활용할 거예요.

💡 재미있는 사실: PHP의 로고는 코끼리예요. 이는 PHP가 크고 강력하면서도 온순하다는 의미를 담고 있대요. 마치 코끼리처럼 말이죠!

자, 이제 PHP에 대해 기본적인 이해를 했으니, 다음 섹션에서는 JWT에 대해 알아보도록 해요. JWT는 우리의 토큰 기반 인증 시스템의 핵심이 될 거예요. 계속해서 흥미진진한 여정을 이어가볼까요? 🚀

3. JWT(JSON Web Token)란? 🎟️

자, 이제 우리의 두 번째 주인공인 JWT에 대해 알아볼 차례예요! JWT는 "JSON Web Token"의 약자로, 정보를 안전하게 전달하기 위한 개방형 표준(RFC 7519)이에요. 😎

🔑 JWT의 주요 특징:

컴팩트함: URL-safe 문자열로 표현되어 HTTP 헤더나 URL 파라미터로 쉽게 전달 가능
자가 수용적(Self-contained): 필요한 모든 정보를 자체적으로 지니고 있음
안전성: 디지털 서명이 되어 있어 위변조 검증이 가능
확장성: 필요한 정보를 자유롭게 담을 수 있음

JWT는 세 부분으로 구성되어 있어요. 각 부분은 점(.)으로 구분되죠. 마치 케이크의 층처럼 생각하면 됩니다! 🍰

각 부분에 대해 자세히 알아볼까요?

Header (헤더): 토큰의 타입과 해시 알고리즘 등의 메타데이터를 담고 있어요.
Payload (페이로드): 실제로 전달하고자 하는 데이터(클레임)를 포함해요.
Signature (서명): 토큰이 변조되지 않았음을 확인하는 서명이에요.

각 부분은 Base64Url로 인코딩되어 있어요. 그래서 JWT를 디코딩하면 JSON 형태의 데이터를 볼 수 있죠.

예를 들어, 아래와 같은 JWT가 있다고 해볼까요?


eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiaWF0IjoxNTE2MjM5MDIyfQ.SflKxwRJSMeKKF2QT4fwpMeJf36POk6yJV_adQssw5c

이 토큰을 디코딩하면 다음과 같은 정보를 얻을 수 있어요:

Header:


{
  "alg": "HS256",
  "typ": "JWT"
}

Payload:


{
  "sub": "0",
  "name": "John Doe",
  "iat": 1516239022
}

여기서 "sub"는 subject(주체), "name"은 사용자 이름, "iat"는 issued at(발급 시간)을 나타내요.

JWT는 이렇게 정보를 안전하게 전달할 수 있어서, 인증 시스템에서 아주 유용하게 사용돼요. 예를 들어, 재능넷 같은 플랫폼에서 사용자가 로그인하면, 서버는 JWT를 생성해 클라이언트에게 전달할 수 있어요. 그러면 클라이언트는 이후의 요청에서 이 토큰을 함께 보내 자신을 인증할 수 있죠.

💡 주의할 점: JWT의 페이로드는 단순히 Base64Url로 인코딩되어 있을 뿐이에요. 따라서 누구나 디코딩할 수 있죠. 그래서 비밀번호와 같은 민감한 정보는 절대 JWT에 포함시키면 안 돼요!

자, 이제 JWT에 대해 기본적인 이해를 했어요. 다음 섹션에서는 PHP와 JWT를 어떻게 함께 사용하는지 알아보도록 해요. 우리의 토큰 기반 인증 시스템이 점점 모습을 갖춰가고 있어요! 🚀

4. PHP에서 JWT 사용하기 🛠️

자, 이제 우리의 두 주인공 PHP와 JWT를 한 무대에서 만나볼 시간이에요! PHP에서 JWT를 사용하는 방법을 알아보겠습니다. 😃

PHP에서 JWT를 사용하기 위해서는 별도의 라이브러리를 사용하는 것이 좋아요. 가장 널리 사용되는 라이브러리 중 하나는 firebase/php-jwt예요. 이 라이브러리를 사용하면 JWT를 쉽게 생성하고 검증할 수 있답니다.

🔧 firebase/php-jwt 설치하기:

Composer를 사용하여 쉽게 설치할 수 있어요:

composer require firebase/php-jwt

라이브러리를 설치했다면, 이제 JWT를 생성하고 검증하는 방법을 알아볼까요?

JWT 생성하기 🏗️

JWT를 생성하는 코드를 한번 살펴볼까요?


<?php
use Firebase\JWT\JWT;

$key = "your_secret_key";  // 비밀 키
$payload = [
    "iss" => "http://example.org",  // 발급자
    "aud" => "http://example.com",  // 대상자
    "iat" => 1356999524,            // 발급 시간
    "nbf" => 1357000000,            // Not Before
    "exp" => time() + 3600,         // 만료 시간 (1시간)
    "uid" => 123                    // 사용자 ID
];

$jwt = JWT::encode($payload, $key, 'HS256');
echo $jwt;
?>

이 코드는 JWT를 생성하는 과정을 보여줘요. $key는 토큰을 서명하고 검증하는 데 사용되는 비밀 키예요. $payload는 토큰에 포함될 정보를 담고 있죠.

payload에 포함된 각 항목들은 클레임(claim)이라고 불러요. 주요 클레임들을 살펴볼까요?

iss (Issuer): 토큰 발급자
aud (Audience): 토큰 대상자
iat (Issued At): 토큰 발급 시간
nbf (Not Before): 토큰의 활성 시작 시간
exp (Expiration Time): 토큰 만료 시간
uid: 사용자 정의 클레임 (여기서는 사용자 ID)

JWT::encode() 메소드를 사용해 페이로드를 인코딩하고, 비밀 키로 서명해 JWT를 생성해요. 'HS256'은 HMAC-SHA256 알고리즘을 사용한다는 의미예요.

JWT 검증하기 🕵️‍♂️

이제 생성된 JWT를 검증하는 방법을 알아볼까요?


<?php
use Firebase\JWT\JWT;
use Firebase\JWT\Key;

$key = "your_secret_key";  // JWT 생성 시 사용한 비밀 키와 동일해야 해요
$jwt = "eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9...";  // 클라이언트로부터 받은 JWT

try {
    $decoded = JWT::decode($jwt, new Key($key, 'HS256'));
    print_r($decoded);
} catch (Exception $e) {
    echo "토큰이 유효하지 않습니다: " . $e->getMessage();
}
?>

이 코드는 JWT를 검증하고 디코딩하는 과정을 보여줘요. JWT::decode() 메소드를 사용해 JWT를 디코딩하고 검증해요. 이 과정에서 서명을 확인하고, 만료 시간 등을 체크하죠.

만약 토큰이 유효하다면, 디코딩된 페이로드를 얻을 수 있어요. 그렇지 않다면 예외가 발생해요.

💡 보안 팁: