0517 - 0523

0518 - JWT(Json Web Token)

Json 포맷을 이용하여 사용자에 대한 속성을 저장하는 Claim 기반의 Web Token이다.
토큰 자체를 정보로 사용하는 Self-Contained 방식
토큰 기반의 인증시스템에서 주로 사용한다.

구조

HEADER.PAYLOAD.SIGNATURE

헤더(Header), 페이로드(Payload), 서명(Signature) 세부분을 점으로 구분하는 구조

• Header : typ과 alg 정보로 구성. Signature를 해싱하기 위한 알고리즘 지정

  • typ : 토큰의 타입을 지정 ex) JWT
  • alg : 알고리즘 방식을 지정하며, 서명(Signature) 및 토큰 검증에 사용 ex) HS256(SHA256) 또는 RSA

• PAYLOAD : 토큰에서 사용할 정보의 조각들인 클레임(Claim)을 담는다. 클레임은 총 3가지로 나누어지며, Json(Key/Value) 형태

  1. 등록된 클레임(Registered Claim)
     토큰 정보를 표현하기 위해 이미 정해진 종류의 데이터

     • iss: 토큰 발급자(issuer)
     • sub: 토큰 제목(subject)
     • aud: 토큰 대상자(audience)
     • exp: 토큰 만료 시간(expiration), NumericDate 형식으로 되어 있어야 함 ex) 1480849147370
     • nbf: 토큰 활성 날짜(not before), 이 날이 지나기 전의 토큰은 활성화되지 않음
     • iat: 토큰 발급 시간(issued at), 토큰 발급 이후의 경과 시간을 알 수 있음
     • jti: JWT 토큰 식별자(JWT ID), 중복 방지를 위해 사용하며, 일회용 토큰(Access Token) 등에 사용

  2. 공개 클레임(Public Claim)
     사용자 정의 클레임으로, 공개용 정보를 위해사용 충동발지를 위해 URI 포맷

     { "https://mangkyu.tistory.com": true }
     

  3. 비공개 클레임(Private Claim)
     사용자 정의 클레임으로, 서버와 클라이언트 사이에 임의로 지정한 정보를 저장

     { "token_type": access }
     

• Signature(서명) : 토큰을 인코딩하거나 유효성 검증을 할 때 사용하는 고유한 암호화 코드. 헤더와 페이로드의 값을 각각 base64로 인코딩하고, 인코딩한 값을 비밀 키를 이용해 헤더에서 정의한 알고리즘으로 해싱을 하고, 이 값을 다시 base64로 인코딩하여 생성한다.

토큰 HTTP 통신

생성된 토큰은 HTTP 통신을 할 때 일반적으로 다음과 같이 사용된다.

{ 
 "Authorization": "Bearer {생성된 토큰 값}",
 }

JWT 단점 및 고려사항

• Self-contained: 토큰 자체에 정보를 담고 있으므로 양날의 검이 될 수 있다.
• 토큰 길이: 토큰의 페이로드(Payload)에 3종류의 클레임을 저장하기 때문에, 정보가 많아질수록 토큰의 길이가 늘어나 네트워크에 부하를 줄 수 있다.
• Payload 인코딩: 페이로드(Payload) 자체는 암호화 된 것이 아니라, BASE64로 인코딩 된 것이다. 중간에 Payload를 탈취하여 디코딩하면 데이터를 볼 수 있으므로, JWE로 암호화하거나 Payload에 중요 데이터를 넣지 않아야 한다.
• Stateless: JWT는 상태를 저장하지 않기 때문에 한번 만들어지면 제어가 불가능하다. 즉, 토큰을 임의로 삭제하는 것이 불가능하므로 토큰 만료 시간을 꼭 넣어주어야 한다.
• Tore Token: 토큰은 클라이언트 측에서 관리해야 하기 때문에, 토큰을 저장해야 한다.

0519 - 스트레스 테스트 툴 Artillery 사용

스트레스 테스트 툴로 성능 측정하기

1. 설치

npm install -g artillery@버전

2. 설정 yaml 작성

config:
  target: "http://34.64.171.115"
  phases:
    - duration: 60
      arrivalRate: 1
      name: Warm up
scenarios:
  - name: "just get hash"
    flow:
      - get:
          url: "/hash/123"

This code describes a load phase which lasts 300 seconds (or 5 minutes), where 10 new virtual users will be created every second.

3. 실행

artillery run --output report.json ./cpu-test.yaml

4. json to html

artillery report ./report.json

doc

https://artillery.io/docs/guides/overview/welcome.html

0521 - 빌드 관리 도구 비교

빌드 관리 도구란?

빌드 도구는 빌드 자동화를 시켜주는 실행가능한 프로그램
빌드 자동화란 실행가능한 프로그램을 만들어주는 과정으로써 코드를 컴파일해서 binary code로 만들고 패키징하며 코드를 테스트하고 실행가능한 프로그램이 나오기 까지의 과정

Maven

• 빌드 중인 프로젝트, 빌드 순서, 다양한 외부 라이브러리 종속성 관계를 pom.xml파일에 명시

Gradle

• Groovy 언어를 사용한 Domain-specific-language를 사용

차이점

• Gradle은 작업 의존성 그래프를 기반, Maven은 고정적이고 선형적인 단계의 모델을 기반
• Gradle은 업데이트 여부를 체크 incremental build를 허용
  => 빌드 시간 단축
• 멀티 프로젝트의 경우 maven은 특정 설정을 다른 모듈에서 사용하려면 상속 받아야 하지만, gradle은 설정 주입 방식을 제공
• gradle은 concurrent에 안전한 캐시를 허용
  => 2개 이상의 프로젝트에서 동일한 캐시를 사용할 경우, 서로 overwirte되지 않도록 checksum 기반의 캐시를 사용하고, 캐시를 repository와 동기화 가능

0523 - M1, RC, GA

스프링의 릴리즈 버전의 RC, GA, M1(2,3)

M1(Milestone 1)

• 프리 알파 단계에 있는 한 중류. 특정한 집합의 기능이 포함되며 기능이 완성되자마자 공개

RC(Release Candidate)

• 마지막 제품이 될 가능성이 있는 베타 버전으로, 상당한 버그가 나타나지 않으면 출시할 준비가 되었음을 의미

GA(General Availability)

• 필요한 모든 상업화 활동이 완료되어 웹이나 물리 매체를 통해 시장에서 이용할 수 있게 됨을 의미