JWT와 쿠키를 같이 사용하는 이유

루비·2024년 3월 25일
0

JWT 쿠키 분리 이유

JWT의 역할

  • JWT는 정보를 인코딩합니다: 시나리오에서 JWT에는 사용자가 비즈니스 모드에 있는지 여부를 나타내는 클레임(isBusiness)이 포함되어 있습니다. JWT는 압축된 형식으로 클라이언트와 서버 간에 데이터를 안전하게 전송할 수 있기 때문에 이러한 목적에 효과적입니다.
  • 상태 비저장 인증: JWT는 상태 비저장 인증 메커니즘에 자주 사용됩니다. 서버가 JWT를 발행하면 서버에서 세션 상태를 유지할 필요가 없습니다. 토큰 자체는 사용자의 진위 여부를 확인하고 필요한 데이터를 전달합니다.

쿠키의 역할

  • JWT 저장 및 전송: 쿠키는 클라이언트측에서 JWT를 저장하는 편리한 방법입니다. 쿠키에 저장되면 JWT는 서버에 대한 모든 HTTP 요청에 자동으로 포함되어 지속적인 인증과 정보 교환이 가능해집니다.
  • 세션 관리: 쿠키는 사용자 로그인 유지와 같은 세션 상태를 유지하는 데 널리 사용됩니다. 쿠키는 보안을 위해 구성할 수 있으며(HttpOnlySecure와 같은 플래그 사용) 사용자 세션.

결별 이유

  1. 보안: JWT와 쿠키를 함께 사용하면 두 가지의 장점을 모두 활용할 수 있습니다. JWT는 사용자 데이터의 보안 인코딩을 처리하고 쿠키는 토큰을 안전하게 저장하고 전송합니다. 'HttpOnly' 쿠키를 사용하면 JWT가 클라이언트 측 스크립트를 통해 액세스되지 않도록 보호되어 XSS(교차 사이트 스크립팅) 공격의 위험을 완화할 수 있습니다.

  2. 확장성 및 효율성: JWT를 쿠키에 저장하면 상태 비저장 인증이 가능합니다. 서버는 각 사용자에 대한 세션을 유지할 필요가 없으므로 서버 메모리 사용량을 줄이고 시스템을 보다 효율적으로 확장할 수 있습니다.

  3. 유연성 및 제어: JWT는 각 요청마다 서버에서 독립적으로 디코딩 및 확인할 수 있는 특정 사용자 정보 및 권한을 전달할 수 있습니다. 이를 통해 사용자 액세스 및 작업을 세밀하게 제어할 수 있습니다.

  4. 상호 운용성: JWT는 인증 및 사용자 데이터를 인코딩하고 전송하는 표준화된 방법으로, 다양한 유형의 클라이언트(예: 웹 애플리케이션, 모바일 앱)와 다양한 도메인 또는 서비스에 적합합니다.

요약하면, 사용자별 데이터(예: 비즈니스 모드 상태)를 인코딩하기 위한 JWT와 이 데이터를 안전하게 저장 및 전송하기 위한 쿠키의 조합은 웹 애플리케이션의 사용자 인증 및 세션 관리에 대한 강력하고 확장 가능하며 안전한 접근 방식을 제공합니다.

JWT 쿠키 로그인 인증 시나리오 요약

1. 아이디와 비밀번호를 입력하세요

  • 사용자 작업: 사용자가 웹 애플리케이션의 로그인 페이지에 자신의 자격 증명(ID 및 비밀번호)을 입력합니다.
  • 서버 측 확인: 이러한 자격 증명은 서버로 전송되며 일반적으로 데이터베이스에 저장된 사용자 정보와 비교하여 확인됩니다.
  • 보안 참고 사항: 민감한 데이터가 가로채는 것을 방지하려면 이 통신이 보안 채널(HTTPS)을 통해 이루어지도록 하세요.

2. JWT를 통한 토큰 발행

  • 토큰 생성: 인증에 성공하면 서버가 JWT를 생성합니다. 이 토큰에는 사용자에 대한 클레임(예: 사용자 ID, 역할 및 기타 관련 속성)이 포함됩니다. 귀하의 경우에는 사용자가 비즈니스 모드에 있는지 여부를 나타내는 클레임이 포함될 수 있습니다.
  • 토큰 서명: 서버는 비밀 키로 JWT에 서명합니다. 이 서명은 토큰이 변조될 수 없도록 보장합니다. 이는 중요한 보안 조치입니다.
  • 토큰 전송: 서버는 JWT를 클라이언트로 다시 보냅니다. 이는 로그인 요청에 대한 응답의 일부로 발생하는 경우가 많습니다.

3. 쿠키에 토큰 저장

  • 토큰 저장: 클라이언트(일반적으로 웹 브라우저)가 JWT를 수신하면 이 토큰을 쿠키에 저장합니다.
  • 보안 쿠키 플래그: 'HttpOnly'(클라이언트 측 JavaScript가 쿠키에 액세스하는 것을 방지) 및 'Secure'(쿠키가 HTTPS를 통해서만 전송되도록 보장)와 같은 플래그로 쿠키를 설정하는 것이 보안에 중요합니다.
  • 자동 토큰 전송: 쿠키에 JWT가 포함되어 있으면 클라이언트는 모든 후속 HTTP 요청의 헤더에 이 토큰을 자동으로 보냅니다. 이를 통해 서버는 사용자를 인증하고 각 요청에 대한 권한을 이해할 수 있습니다.

추가 고려사항

  • 토큰 만료: JWT에는 일반적으로 만료 시간이 있습니다. 이는 일정 기간이 지나면 사용자를 재인증하도록 하여 보안을 강화합니다.
  • 새로 고침 토큰: 더 복잡한 시스템에서는 새로 고침 토큰(별도의 토큰)을 사용하여 사용자가 다시 로그인하지 않고도 새 JWT를 얻을 수 있습니다. 이는 장기간 세션을 안전하게 유지하는 데 유용합니다.
  • 교차 사이트 스크립팅(XSS) 보호: JWT가 포함된 쿠키는 XSS 공격의 대상이 될 수 있으므로 강력한 XSS 보호 조치를 구현하는 것이 중요합니다.
  • CORS(Cross-Origin Resource Sharing) 정책: API 및 다양한 도메인을 처리할 때 보안을 위해 적절한 CORS 정책이 마련되어 있는지 확인하세요.

이러한 방식으로 JWT와 쿠키를 사용하면 웹 애플리케이션을 위한 안전하고 효율적이며 사용자 친화적인 인증 시스템을 만들 수 있습니다.

profile
루비
개발훠훠
이전 포스트

합병 정렬

다음 포스트

react-hook-form defaultValue 초기값 설정 에러사항

0개의 댓글

관련 채용 정보