RESTful API v2 (JWT) — CodeIgniter 4

먼저 회원 인증 예제에서 계정을 만들어 두세요. 같은 auth_users 테이블을 사용합니다.

1) 토큰 발급

2) 보호된 API 호출

발급된 JWT 토큰 (자동 채워짐)

응답 (Status: -)

API 호출 결과가 여기에 표시됩니다.

JWT 구조 (Header.Payload.Signature)

JWT는 마침표(.)로 구분된 세 부분으로 구성되며, 각 부분은 Base64URL로 인코딩됩니다.

Header 헤더 — 알고리즘과 타입

{
  "alg": "HS256",
  "typ": "JWT"
}

Base64URL → eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9

Payload 페이로드 — 클레임

{
  "sub":      1,                  // Subject — 사용자 ID
  "username": "alice",
  "email":    "alice@example.com",
  "iat":      1779562800,         // Issued At — 발급 시각
  "exp":      1779566400          // Expiration — 만료 시각
}

표준 클레임: iss(발급자), sub(주체), aud(대상), exp(만료), iat(발급), jti(JWT ID).

Signature 시그니처 — 위변조 방지

HMACSHA256(
  base64UrlEncode(header) + "." + base64UrlEncode(payload),
  SECRET_KEY
)

서버만 아는 SECRET_KEY로 서명하여 위변조 방지. 클라이언트는 페이로드를 읽을 수는 있지만 수정할 수 없음.

JWT 보안 주의사항

Payload는 암호화되지 않음. 비밀번호 등 민감 정보 절대 넣지 말 것.
SECRET_KEY는 충분히 긴 랜덤값을 사용 (32+ 바이트 권장).
exp 만료 시간은 짧게 (15분~1시간). 갱신은 Refresh Token으로.
alg: none 공격 방지 — 헤더의 alg를 신뢰하지 말고 서버에서 강제.
토큰 무효화가 어려움 — 로그아웃은 클라이언트 측 삭제, 서버는 blacklist 또는 짧은 TTL.

JWT 생성 (라이브러리 없이)

private function generateJwt(array $payload): string
{
    $header  = $this->b64UrlEncode(json_encode(['alg' => 'HS256', 'typ' => 'JWT']));
    $payload = $this->b64UrlEncode(json_encode(array_merge($payload, [
        'iat' => time(),
        'exp' => time() + 3600,  // 1시간 후 만료
    ])));
    $sig = $this->b64UrlEncode(
        hash_hmac('sha256', "{$header}.{$payload}", $this->jwtSecret, true)
    );
    return "{$header}.{$payload}.{$sig}";
}

private function b64UrlEncode(string $data): string
{
    return rtrim(strtr(base64_encode($data), '+/', '-_'), '=');
}

JWT 검증

private function verifyJwt(string $token): ?array
{
    $parts = explode('.', $token);
    if (count($parts) !== 3) return null;
    [$header, $payload, $sig] = $parts;

    $expected = $this->b64UrlEncode(
        hash_hmac('sha256', "{$header}.{$payload}", $this->jwtSecret, true)
    );
    // Timing-safe 비교!
    if (! hash_equals($expected, $sig)) return null;

    $data = json_decode($this->b64UrlDecode($payload), true);
    if ($data['exp'] < time()) return null;  // 만료 체크
    return $data;
}

private function getAuthenticatedUser(): ?array
{
    $auth = $this->request->getHeaderLine('Authorization');
    if (! str_starts_with($auth, 'Bearer ')) return null;
    return $this->verifyJwt(substr($auth, 7));
}

토큰 발급 엔드포인트

public function token()
{
    $user = $this->users->findByEmail($email);
    if (! $user || ! password_verify($password, $user->password)) {
        return $this->response->setStatusCode(401)->setJSON([
            'success' => false,
            'message' => '이메일 또는 비밀번호가 올바르지 않습니다.',
        ]);
    }

    $token = $this->generateJwt([
        'sub'      => $user->id,
        'username' => $user->username,
        'email'    => $user->email,
    ]);

    return $this->response->setJSON([
        'token_type' => 'Bearer',
        'token'      => $token,
        'expires_in' => 3600,
    ]);
}

클라이언트에서 토큰 사용

// fetch API
const res = await fetch('/examples/apiv2/users', {
    headers: {
        'Authorization': 'Bearer ' + token,
        'Content-Type':  'application/json',
    },
});
const data = await res.json();

// 또는 axios
axios.get('/examples/apiv2/users', {
    headers: { Authorization: `Bearer ${token}` }
});

// 또는 curl
// curl -H "Authorization: Bearer eyJhbGciOi..." /examples/apiv2/users

실무에서는 firebase/php-jwt 같은 검증된 라이브러리를 사용하는 것을 권장합니다.
composer require firebase/php-jwt

API v1 (API Key) vs API v2 (JWT)

	v1 — API Key	v2 — JWT
토큰 형태	임의 문자열 (UUID/random)	3-Part Base64URL (Header.Payload.Sig)
상태	Stateful (DB 조회 필수)	Stateless (서명으로만 검증)
유효기간	발급 시 영구 / 수동 만료	`exp` 클레임으로 자동 만료
사용자 정보	DB 조인 필요	Payload에 포함 (즉시 사용)
무효화	DB에서 즉시 삭제 가능	Blacklist 또는 만료 대기
적합 상황	서드파티 API 키, 머신간 통신	SPA/모바일, 마이크로서비스
구현 복잡도	낮음	중간 (서명/만료 처리 필요)
확장성	중앙 DB 의존	분산 시스템에서 유리

선택 가이드

외부 개발자에게 키를 발급 → API Key
사용자 로그인 후 SPA에서 API 호출 → JWT
마이크로서비스간 인증 → JWT (Stateless 장점)
최고 보안 필요 → OAuth 2.0 + JWT (Bearer Token)

RESTful API v2 + JWT