spring boot // 안드로이드 JWT 진행순서

 

안드로이드를 예시로 JWT 진행순서

레트로핏 post 요청 

-> jwt필터에서 로그인프로세스 요청을 낚아챔

-> UserDetailsService타서 DB에서 확인 + 어썬티케이션 생성 되는것 확인 + 로그인

-> 세션을 만드는게 아니라 토큰을 만듬

-> 토큰에 권한을 부여 (인증+권한 - 슈도코드)

-> 토큰을 리스폰스 (헤더에 담아서 보냄) - 헤더 안에 authorization 필드 생성 

header: {
	authorization:
		"베리어 토큰"
}

base64로 인코딩, 디코딩 (헤더에 담고 인코딩 디코딩 하는 것은 전부 규칙이며 커스텀 가능)

 

-> 재요청시 토큰을 실어서 서버로 보냄

-> 서버에서 내가 만든 토큰인지 확인 (시크릿 키값으로 확인 = 서명검증)

 

토큰은 탈취 당할 수 있기 때문에 유효시간이 있다

토큰을 탈취 당하지 않기 위해서는 SSL HTTPS 를 써야함

-