JWT is signed, not encrypted — many developers misunderstand this fundamental point

Context

기존 시스템에서 인증 정보를 안전하게 전달하는 방법에 대한 수요가 증가했다. 클라이언트와 서버 간 데이터 전송 시 무결성 검증이 필수적이었다. 많은 개발자들이 JWT의 보안 특성을 오해하는 문제가 발생했다.

Technical Solution

• JWT → Header, Payload, Signature 3개의 구조로 분리한다
• Header → 토큰 유형과 사용 중인 알고리즘 정보를 포함한다
• Payload → 클레임 데이터를 Base64Url로 인코딩한다
• Signature → Header와 Payload를 секрет 키로 서명한다
• 인코딩 + 서명 → 암호화가 아닌 무결성 검증 메커니즘을 구현한다

Impact

없음

Key Takeaway

JWT는 기본적으로 암호화되지 않으며, Base64Url 인코딩과 디지털 서명을 통해 데이터 무결성을 보장한다.