JWT

• Json Web Token 의 약자

  Json 포맷으로 사용자에 대한 속성을 저장하는 웹 토큰

  JSON 포맷의 토큰 정보를 인코딩 후, 인코딩 된 토큰 정보를 Secret Key로 서명(Sign)한 메시지를 Web Token으로써 인증 과정에 사용한다.

  https://jwt.io/

장점

1. 상태를 유지하지 않고(Stateless), 확장에 용이한(Scalable) 애플리케이션을 구현하기 용이하다.

   • 서버는 클라이언트에 대한 정보를 저장할 필요 없다. (토큰이 정상적으로 검증되는지만 판단한다)

   • 클라이언트는 request를 전송할 때 마다 토큰을 헤더에 포함시키면 된다.

     • 여러대의 서버를 이용한 서비스라면 하나의 토큰으로 여러 서버에서 인증이 가능하기 때문에 JWT를 사용하는 것이 효과적이다.

       만약에 세션 방식이라면 모든 서버가 해당 사용자의 세션 정보를 공유하고 있어야 한다.

2. 클라이언트가 request를 전송할 때 마다 자격 증명 정보를 전송할 필요가 없다.

   • HTTP Basic 같은 인증 방식은 request를 전송할 때 마다 자격 증명 정보를 포함해야하지만 JWT의 경우 토큰이 만료되기 전까지는 한번의 인증만 수행하면 된다.

3. 인증을 담당하는 시스템을 다른 플랫폼으로 분리하는 것이 용이하다.

   • 사용자의 자격 증명 정보를 직접 관리하지 않고, Github, Google 등의 다른 플랫폼의 자격 증명 정보로 인증하는 것이 가능하다.

   • 토큰 생성용 서버를 만들거나, 다른 회사에서 토큰 관련 작업을 맡기는 것 등 다양한 활용이 가능하다.

4. 권한 부여에 용이하다.

   • 토큰의 Payload(내용물) 안에 해당 사용자의 권한 정보를 포함하는 것이 용이하다.

단점

1. Payload는 디코딩이 용이하다.

   • Payload는 base64로 인코딩 되기 때문에 토큰을 탈취하여 Payload를 디코딩하면 토큰 생성시 저장한 데이터를 확인할 수 있다. 따라서 Payload에는 민감한 정보를 포함하지 않아야 한다.

2. 토큰의 길이가 길어지면 네트워크에 부하를 줄 수 있다.

   • 토큰에 저장하는 정보의 양이 많아질 수록 토큰의 길이는 길어진다.

     따라서 request를 전송할 때 마다 길이가 긴 토큰을 함께 전송하면 네트워크에 부하를 줄 수 있다.

3. 토큰은 자동으로 삭제되지 않는다.

   • 한 번 생성된 토큰은 자동으로 삭제되지 않기 때문에 토큰 만료 시간을 반드시 추가해야 한다.

   • 또한 토큰이 탈취된 경우 토큰의 기한이 만료될 때까지 토큰 탈취자가 해당 토큰을 정상적으로 이용할 수 있으므로 만료 시간을 너무 길게 설정하지 않아야 한다.

종류

1. 액세스 토큰(Access Token)
2. 리프레시 토큰(Refresh Token)

Access Token은 보호된 정보들(사용자의 이메일, 연락처, 사진 등)에 접근할 수 있는 권한부여에 사용한다.

클라이언트가 처음 인증을 받게 될 때(로그인 시), Access Token과 Refresh Token 두 가지를 다 받지만, 실제로 권한을 얻는 데 사용하는 토큰은 Access Token이다.

권한을 부여받 데엔 Access Token만 있으면 된다. 하지만, Access Token이 악의적인 사용자가 얻어냈을 경우, 문제가 발생할 수 있다. 그렇기 때문에 Access Token은 짧은 유효 기간을 줘서 탈취되더라도 오래 사용할 수 없도록 하는 것이 좋다. Access Token의 유효기간이 만료된다면 Refresh Token을 사용하여 새로운 Access Token을 발급받는다. 이때, 사용자는 다시 로그인 인증을 할 필요가 없다.

하지만, Refresh Token 또한 탈취가 될 수도 있다. 그렇기 때문에 편의성보다 정보를 지키는 것이 더 중요한 웹 애플리케이션은 Refresh Token을 사용하지 않는 곳이 많다.

구조

• aaaaaa.bbbbbb.ccccccc

• Header.Payload.Signature

1. aaaaaa : Header
   • 어떤 종류의 토큰인가?
   • 어떤 알고리즘으로 암호화 하는가?

   //예시 코드
   {"alg":"HS256",
   "typ":"JWT"}

2. bbbbbb : Payload
   • 유저의 정보 ex) 사용자의 이름
   • 권한을 부여 받았는가?
   • 기타 필요한 정보
   • 민감한 정보는 담지 않는 것이 좋다.

   //예시 코드
   {"sub":"someInformation",
   "name":"phillip",
   "iat":151623391}

3. ccccccc : Signature
   • Header, Payload를 base64인코딩한 값과 salt값의 조합으로 암호화된 값

  //예시 코드
  HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload), 
  secret)

사용 예시

JWT는 권한 부여에 매우 유용하다.

새로 다운받은 A 라는 앱이 Gmail과 연동되어 이메일을 읽어와야 한다면..

이 경우, 사용자는

1. Gmail 인증서버에 로그인 정보(아이디, 비밀번호)를 제공한다.

2. 인증에 성공할 경우, JWT를 발급받는다.

3. A 앱은 JWT를 사용해 해당 사용자의 이메일을 읽거나 사용할 수 있다.

토큰 기반 인증 절차

1. 클라이언트가 서버에 Username, password를 통해 로그인 요청을 한다. 서버측에서는 Username, password가 일치하는지 확인하고 클라이언트 측에 보낼 암호화된 토큰을 생성한다.

2. 클라이언트는 이 토큰을 local storage, cookie, react state 등 다양한 곳에 저장할 수 있다.

3. 클라이언트가 HTTP 헤더에 토큰을 담아서 정보를 요청한다.

4. 서버는 JWT 토큰을 해독해서 발급한 토큰인지 확인한 후에 클라이언트의 요청에 대한 응답을 한다.

토큰 기반 인증의 장점은?

1. Statelessness * Scalability(무상태성 & 확장성)

   • 서버는 클라이언트에 대한 정보를 저장할 필요 X
   • 토큰을 헤더에 추가함으로 인증절차 완료

2. 안정성

   • 암호화 한 토큰을 사용
   • 암호화 키를 노출할 필요 X

3. 어디서나 생성 가능

   • 토큰을 생성하는 서버가 꼭 토큰을 만들지 않아도 됨

     토큰만 생성하는 토큰 생성용 서버를 만들거나 다른 회사에 토큰 관련 작업을 맡긴다는 등 다양하게 활용 가능하다.

4. 권한 부여에 용이

   • 토큰의 payload(내용물) 안에 어떤 정보에 접근 가능한지 정의
   • ex) 사진과 연락처 사용권한 부여/ 사진 권한만 부여/ 연락처 권한만 부여

토큰 기반 자격 증명

HTTP 프로토콜은 request를 전송한 후, response를 수신하게 되면 연결을 끊는 비연결성(Connectionless)의 특성을 가지고 있고 또한 request와 response에 대한 상태를 저장하지 않는 비상태성(Stateless)의 특성을 가지고 있기 때문에 로그인 인증이 성공적으로 수행되었다 하더라도 서버 측에서는 매 번 request를 수신할 때 마다 이 request가 인증된 사용자가 보낸 request인지 알 수 있는 방법이 없다.

이러한 HTTP 특성으로 인해 사용자의 인증이 성공적으로 이루어졌을 때, 인증된 사용자 request의 상태를 유지하기 위한 수단이 필요하게 되었으며 대표적인 수단이 바로 세션이다.

증명 방식

• What is Token ? 아래와 같은 동전을 흔히 떠올릴 수 있다.

  • 대중교통을 이용할 때 사용하는 토큰

  • 오락실 게임에 사용하는 토큰

애플리케이션에서 사용되는 토큰은 인증된 사용자의 자격을 증명하는 동시에 접근 권한을 부여해 접근 권한이 부여된 특정 리소스에만 접근이 가능하게 하는 역할을 한다.

특징

• 토큰에 포함된 인증된 사용자 정보는 서버 측에서 별도의 관리를 하지 않는다.

• 생성된 토큰을 헤더에 포함시켜 request 전송 시, 인증된 사용자인지를 증명하는 수단으로 사용된다.

• 토큰내에 인증된 사용자 정보 등을 포함하고 있으므로 세션에 비해 상대적으로 많은 네트워크 트래픽을 사용한다.

• 기본적으로 서버 측에서 토큰을 관리하지 않으므로 보안성 측면에서 조금 더 불리하다.

• 인증된 사용자 request의 상태를 유지할 필요가 없기 때문에 서버의 확장성 면에서 유리하고, 세션 불일치 같은 문제가 발생하지 않는다.

• 토큰에 포함되는 사용자 정보는 토큰의 특성상 암호화가 되지 않기때문에 공격자에게 토큰이 탈취될 경우, 사용자 정보를 그대로 제공하는 셈이다. 따라서 민감한 정보는 토큰에 포함시키지 말아야 한다.

• 기본적으로 토큰이 만료되기 전까지는 토큰을 무효화 시킬 수 없다.

• CSR(Client Side Rendering) 방식의 애플리케이션에 적합한 방식이다.

토큰의 경우, 기본적으로 토큰 무효화를 할 수 없지만 key/value 쌍의 형태로 저장되는 Redis 같은 인메모리 DB에 무효화 시키고자 하는 토큰의 만료 시간을 짧게 주어 해당 토큰을 사용하지 못하게 하는 등의 방법을 사용해 토큰 무효화 문제를 보완하고 있다.

세션 기반 자격 증명

세션 기반 자격 증명 방식은 서버 측에 인증된 사용자의 정보를 세션 형태로 세션 저장소에 저장 하는 방식이다.

즉, 클라이언트 측에서 서버 측의 리소스를 요청하면 서버 측에서는 "서버 측 리소스를 요청하는 클라이언트에게 우리가 정보를 줘도 괜찮은가?"를 확인하기 위해 서버 측 세션 저장소에 저장된 세션 정보와 사용자가 제공하는 정보가 일치하는지 확인하는 방식이다.

특징

• 세션은 인증된 사용자 정보를 서버 측 세션 저장소에서 관리한다.

• 생성된 사용자 세션의 고유 ID인 세션 ID는 클라이언트의 쿠키에 저장되어 request 전송 시, 인증된 사용자인지를 증명하는 수단으로 사용된다.

• 세션 ID만 클라이언트 쪽에서 사용하므로 상대적으로 적은 네트워크 트래픽을 사용한다.

• 서버 측에서 세션 정보를 관리하므로 보안성 측면에서 조금 더 유리하다.

• 서버의 확장성 면에서는 세션 불일치 문제가 발생할 가능성이 높다.

• 세션 데이터가 많아질수록 서버의 부담이 가중될 수 있다.

• SSR(Server Side Rendering) 방식의 애플리케이션에 적합한 방식이다.

세션의 경우 서버 확장 시, 세션 불일치 문제가 발생할 수 있지만 Sticky Session, Session Clustering, Session 저장소의 외부 분리 등의 작업을 통해 보완을 하고 있다.