JWT 인증방식 (쿠키, 세션, 토큰)

Rotti_Kim·2022년 12월 7일
JWThttp세션쿠키토큰
0

WEB 공부

목록 보기
2/4
post-thumbnail

인증 방식

서버가 클라이언트를 인증하는 방식은 쿠키, 세션, 토큰 3가지 방식이 있다.

쿠키는 key - value 형식의 문자열 덩어리이다.

클라이언트가 웹사이트를 방문할 경우, 해당 사이트의 서버를 통해 클라이언트의 브라우저에 설치되는 작은 기록정보 파일이다.

이를 통해 각 사용자마다 브라우저의 정보를 저장하니 고유정보 식별이 가능하다.

<쿠키 인증방식>

  1. 브라우저(클라이언트)가 서버에 요청을 보낸다.

  2. 서버는 클라이언트의 요청에 대한 응답을 작성할 때, 클라이언트 측에 저장하고 싶은 정보를 응답 헤더의 set-cookie에 담는다.

  3. 이후 해당 클라이언트는 요청을 보낼때마다, 매번 저장된 쿠키를 요청 헤더의 cookie에 담아 보낸다. -> 서버는 쿠키에 담긴 정보를 바탕으로 해당 요청의 클라이언트가 누군지 식별하거나 정보를 바탕으로 추천 광고를 띄워준다.

<쿠키의 단점>

  1. 보안에 취약하다 -> 쿠키값을 그대로 보내기 때문 유출 및 조작의 위험이 있다.
  2. 쿠키에는 용량 제한이 있어 많은 정보를 담을 수 x
  3. 웹 브라우저마다 쿠키에 대한 지원 형태가 다르기 때문에 브라우저간 공유가 불가하다.
  4. 쿠키의 사이즈가 커질수록 네트워크에 부하가 심해진다.

<쿠키 사용예시>

  • 방문 사이트에서 로그인 시, "아이디와 비밀번호를 저장하시겠습니까?"

  • 팝업창을 통해 "오늘 이 창을 다시 보지 않기" 체크

2. Session 인증

세션 객체는 key에 해당하는 session id와 이에 대응하는 value값으로 구성되어 있다.

value에는 세션 생성 기간, 마지막 접근 시간 및 user가 저장한 속성 등이 map형태로 저장된다.

  • 쿠키의 보안적 이슈를 세션은 비밀번호 등 클라이언트의 민감한 인증 정보를 브라우저가 아닌 서버측에 저장하고 관리한다.

  • 서버의 메모리 또는 로컬 파일이나 데이터베이스에 저장

<session 인증방식>

  1. 유저가 웹사이트 로그인 -> 세션이 서버 메모리 or DB에 저장된다.(이때, 세션을 식별하기 위한 session id를 기준으로 정보를 저장)
  2. 서버에서 브라우저에 쿠키에다가 session id를 저장한다.
  3. 쿠키에 정보가 담겨있으므로 브라우저는 해당 사이트에 대한 모든 request에 session id를 쿠키에 담아 전송
  4. 서버는 클라이언트가 보낸 session id와 서버 메모리로 관리하고 있는 session id를 비교하여 인증을 수행한다.

<session 단점>

  1. 세션 id자체는 유의미한 개인정보를 담지 않지만, 해커가 세션 id를 탈취하여 클라이언트인척 위장할 수 있다.
  2. 서버에서 세션 저장소를 사용하므로 요청이 많아지면 서버에 부하가 심해진다.

<session 사용예시>

  • 화면을 이동해도 로그인이 풀리지 않고 로그아웃하기 전까지 유지

3. Token 인증

토큰 기반 인증 시스템은 클라이언트가 서버에 접속했을때 '토큰'부여

토큰은 유일하며 토큰을 발급받은 클라이언트는 서버에 요청을 보낼 때 요청 헤더에 토큰을 심어서 보냄

서버에서는 클라이언트로부터 받은 토큰을 서버에서 제공한 토큰과의 일치여부를 체크하여 인증

  • 토큰은 세션과 달리 클라이언트에 저장되므로 메모리나 스토리지 낭비가 없어 서버의 부담을 줄임
  • 토큰 자체에 데이터가 들어있으므로 위조여부만 서버에서 판별
  • 토큰은 앱에서 가장 많이 사용됨 앱에는 쿠키 세션이 없음

<토큰 단점>

  • 쿠키/세션에 비해 토큰 자체의 데이터길이가 길어 인증요청이 많아질수록 네트워크 부하가 심해짐
  • payload자체는 암호화되지 않기 때문에 유저의 중요한 정보를 담을 수 없다.
  • 토큰을 탈취당하면 대처하기 어렵다.

JWT(JSON Web Token)

JWT(JSON Web Token)란 인증에 필요한 정보들을 암호화시킨 JSON 토큰을 의미한다.

그리고 JWT 기반 인증은 JWT 토큰(Access Token)을 HTTP 헤더에 실어 서버가 클라이언트를 식별하는 방식이다

JWT는 JSON 데이터를 Base64 URL-safe Encode 를 통해 인코딩하여 직렬화한 것이며, 토큰 내부에는 위변조 방지를 위해 개인키를 통한 전자서명도 들어있다.

따라서 사용자가 JWT 를 서버로 전송하면 서버는 서명을 검증하는 과정을 거치게 되며 검증이 완료되면 요청한 응답을 돌려준다.

jwt 구조

Header , Payload, Signature 세가지 문자열의 조합이다.

1. Header

Jwt에서 사용할 타입, 해시 알고리즘의 종류 담겨져 있음

2. Payload

사용자 권한 정보와 데이터

3. Signature

Header, Payload 를 Base64 URL-safe Encode 를 한 이후 Header 에 명시된 해시함수를 적용하고, 개인키(Private Key)로 서명한 전자서명이 담겨있다.

전자서명에는 비대칭 암호화 알고리즘을 사용하므로 암호화를 위한 키와 복호화를 위한 키가 다르다. 암호화(전자서명)에는 개인키를, 복호화(검증)에는 공개키를 사용한다.

JWT를 이용한 인증 과정

공부 링크:

https://inpa.tistory.com/entry/WEB-📚-JWTjson-web-token-란-💯-정리

profile
Rotti_Kim
세상의 문제를 기술적으로 해결하는 공학자
이전 포스트

CORS 에러 분석

다음 포스트

HTTP 정리

0개의 댓글