Tink는 웹에서 널리 사용되는 표준인 JWT 생성 및 확인을 지원합니다. Tink의 JWT 구현은 RFC 7519에 정의된 JWT 표준의 하위 집합을 제공합니다. 이는 Tink팀에서 사용하기에 안전하다고 간주하고 Tink 라이브러리에 적합합니다.
Tink는 거의 사용되지 않거나 올바르게 사용하기 어려운 표준 부분을 지원하지 않습니다. 다음과 같은 제한사항이 있습니다.
- Tink는 JWS 압축 직렬화 형식만 지원합니다. JWS JSON 직렬화 및 JWE는 지원되지 않습니다.
- Tink는
alg헤더의None값을 지원하지 않습니다. - Tink는
typ,alg,kid헤더만 지원합니다. 다른 모든 헤더는 지원되지 않습니다. - Tink는 서명 또는 MAC을 확인하기 전에 토큰을 파싱하는 것을 허용하지 않습니다.
JWT 서명
토큰이 서로 다른 항목에서 생성되고 확인되면 프리미티브 JwtPublicKeySign 및 JwtPublicKeyVerify와 함께 비대칭 키를 사용해야 합니다.
비공개 키는 토큰을 생성하는 데 사용되고, 공개 키는 토큰을 확인하는 데 사용됩니다. 이러한 프리미티브에서 지원되는 알고리즘은 ES256, ES384, ES512, RS256, RS384, RS512, PS256, PS384, PS512입니다.
키 유형 선택
JWT 서명은 Tink의 일반 디지털 서명과 다른 키 유형을 사용합니다. 이 작업이 필요한 이유는 일부 메타데이터 (예: alg 및 kid)를 키와 함께 저장해야 하기 때문입니다.
대부분의 사용 사례에는 JWT_ES256를 사용하는 것이 좋습니다. 이 키 유형으로 생성된 토큰에는 항상 kid 헤더가 있습니다. kid 헤더가 없는 약간 더 짧은 토큰을 선호한다면 JWT_ES256_RAW 키 유형을 선택하세요.
지원되는 모든 키 유형은 지원되는 키 유형을 참고하세요.
공개 키 세트 배포
Tink를 사용하면 대부분의 JWT 라이브러리가 이해하는 RFC 7517에 정의된 JWK 세트 형식으로 공개 키 세트를 변환할 수 있습니다.
Tink는 다른 형식의 공개 JWT 키 내보내기를 지원하지 않습니다. 그 이유는 다른 형식에는 확인에 사용할 alg 및 kid 메타데이터가 포함되어 있지 않기 때문에 이러한 형식에서 오류가 발생하기 쉽고 키를 순환하기가 더 어려워질 수 있습니다.
공개 키 세트를 한 번만 공유하는 것이 아니라 공개 키 세트를 자동으로 업데이트하는 방법을 제공하는 것이 좋습니다. 그렇지 않으면 새 키로 순환하기가 매우 어렵습니다. 보통은 신뢰할 수 있는 보안 URL에 공개 키 세트를 게시하면 됩니다. 토큰을 확인하는 서버는 단순히 해당 URL에서 공개 키 세트를 주기적으로 다시 가져오면 됩니다(예: 하루에 한 번). 키를 순환하려면 새 공개 키를 토큰 서명에 사용하기 최소 1일 전에 공개 키 세트에 추가해야 합니다. 그렇지 않으면 새 비공개 키로 서명된 새 토큰이 이전 공개 키 세트를 계속 사용하는 서버에서 거부됩니다.
JWT MAC
또한 Tink는 기본 JwtMac를 사용하는 대칭 키가 있는 JWT를 지원합니다. 동일한 항목에서 토큰을 생성하고 확인한 경우에만 이 프리미티브를 사용하세요. 이 프리미티브에서 지원하는 알고리즘은 HS256, HS384, HS512입니다.
키 유형 선택
JWT MAC 키 유형은 일반 MAC 키 유형과 다릅니다. 대부분의 사용 사례에는 JWT_HS256를 사용하는 것이 좋습니다.