인증과 인가란 무엇일까?

인증(Authentication)

• 인증은 해당 유저가 실제 유저인지 인증하는 개념
• 스마트폰에 지문인식, 사이트에 로그인 등 실제 그 유저가 맞는지를 확인하는 절차
  

인가(Authorization)

• 인가는 해당 유저가 특정 리소스에 접근이 가능한지 허가를 확인하는 개념
• 회원/비회원 여부에 따라 다른 권한을 받는 것

인증의 방식

쿠키-세션 방식의 인증

• 서버가 ‘특정 유저가 로그인 되었다’는 상태를 저장하는 방식
• 인증과 관련된 최소한의 정보는 저장해서 로그인을 유지시킨다는 개념

1. 사용자가 로그인 요청을 보냄
2. 서버는 DB의 유저 테이블을 뒤져서 아이디 비밀번호를 대조
3. 실제 유저테이블의 정보와 일치한다면 인증을 통과한 것으로 보고 “세션 저장소”에 해당 유저가 로그인 되었다는 정보를 넣음
4. 세션 저장소에서는 유저의 정보와는 관련 없는 난수인 session-id를 발급
5. 서버는 로그인 요청의 응답으로 session-id를 내어줌
6. 클라이언트는 그 session-id를 쿠키라는 저장소에 보관하고 앞으로의 요청마다 세션아이디를 같이 보냄 (주로 HTTP header에 담아서 보낸다)
7. 클라이언트의 요청에서 쿠키를 발견했다면 서버는 세션 저장소에서 쿠키를 검증
8. 만약 유저정보를 받아왔다면 이 사용자는 로그인이 되어있는 사용자
9. 이후에는 로그인 된 유저에 따른 응답을 내어줌

JWT 기반 인증

• JWT(JSON Web Token)란 인증에 필요한 정보들을 암호화시킨 토큰을 의미
• JWT 토큰(Access Token)을 HTTP 헤더에 실어 서버가 클라이언트를 식별

1. 사용자가 로그인 요청을 보냄
2. 서버는 DB의 유저 테이블을 뒤져서 아이디 비밀번호를 대조
3. 실제 유저테이블의 정보와 일치한다면 인증을 통과한 것으로 보고 유저의 정보를 JWT로 암호화 해서 내보냄
4. 서버는 로그인 요청의 응답으로 jwt 토큰을 내어줌
5. 클라이언트는 그 토큰을 저장소에 보관하고 앞으로의 요청마다 토큰을 같이 보냄
6. 클라이언트의 요청에서 토큰을 발견했다면 서버는 토큰을 검증
7. 이후에는 로그인 된 유저에 따른 응답을 내어줌

쿠키와 세션이란 무엇일까?

• 쿠키와 세션 모두 HTTP 에 상태 정보를 유지(Stateful)하기 위해 사용
• 쿠키와 세션을 통해 서버에서는 클라이언트 별로 인증 및 인가를 할 수 있게 됨

쿠키

• 클라이언트에 저장될 목적으로 생성한 작은 정보를 담은 파일
• 구성요소
  - Name (이름): 쿠키를 구별하는 데 사용되는 키 (중복될 수 없음)
  • Value (값): 쿠키의 값
  • Domain (도메인): 쿠키가 저장된 도메인
  • Path (경로): 쿠키가 사용되는 경로
  • Expires (만료기한): 쿠키의 만료기한 (만료기한 지나면 삭제됩니다.)
• 쿠키 생성

// Cookie 생성은 범용적으로 사용될 수 있기 때문에 static 메서드로 선언
public static void addCookie(String cookieValue, HttpServletResponse res) {
    try {
        cookieValue = URLEncoder.encode(cookieValue, "utf-8").replaceAll("\\+", "%20"); // Cookie Value 에는 공백이 불가능해서 encoding 진행

        Cookie cookie = new Cookie(AUTHORIZATION_HEADER, cookieValue); // Cookie에 저장될 Name과 Value를 생성자로 받는 Cookie 객체 생성
        cookie.setPath("/"); // Path 지정
        cookie.setMaxAge(30 * 60); // 만료시간 지정

        // Response 객체에 Cookie 추가
        // HttpServletResponse 객체에 생성한 Cookie 객체를 추가하여 브라우저로 반환
        res.addCookie(cookie);
    } catch (UnsupportedEncodingException e) {
        throw new RuntimeException(e.getMessage());
    }
}

• 쿠키 읽기

// @CookieValue("Cookie의 Name") : Cookie의 Name 정보를 전달해주면 해당 정보를 토대로 Cookie의 Value를 가져옴
@GetMapping("/get-cookie")
public String getCookie(@CookieValue(AUTHORIZATION_HEADER) String value) {
    System.out.println("value = " + value);

    return "getCookie : " + value;
}

세션

• 서버에서 일정시간 동안 클라이언트 상태를 유지하기 위해 사용
• 서버에서 클라이언트 별로 유일무이한 '세션 ID' 를 부여한 후 클라이언트 별 필요한 정보를 서버에 저장
• 서버에서 생성한 '세션 ID' 는 클라이언트의 쿠키값('세션 쿠키' 라고 부름)으로 저장되어 클라이언트 식별에 사용
• 세션 동작 방식
  

위 그림에서와 같이 서버는 세션ID 를 사용하여 세션을 유지한다.
1. 클라이언트가 서버에 1번 요청
2. 서버가 세션ID 를 생성하고, 쿠키에 담아 응답 헤더에 전달
- 세션 ID 형태: "SESSIONID = 12A345"
3. 클라이언트가 쿠키에 세션ID를 저장 ('세션쿠키')
4. 클라이언트가 서버에 2번 요청
- 쿠키값 (세션 ID) 포함하여 요청
5. 서버가 세션ID 를 확인하고, 1번 요청과 같은 클라이언트임을 인지

• Servlet에서는 유일무이한 '세션 ID'를 간편하게 만들수 있는 HttpSession을 제공 해줌

• HttpSession 생성

@GetMapping("/create-session")
public String createSession(HttpServletRequest req) {
    // 세션이 존재할 경우 세션 반환, 없을 경우 새로운 세션을 생성한 후 반환
    HttpSession session = req.getSession(true);

    // 세션에 저장될 정보 Name - Value 를 추가합니다.
    session.setAttribute(AUTHORIZATION_HEADER, "Robbie Auth");

    return "createSession";
}

• 반환된 세션은 브라우저 Cookie 저장소에 ‘JSESSIONID’라는 Name으로 Value에 저장됨

• HttpSession 읽기

@GetMapping("/get-session")
public String getSession(HttpServletRequest req) {
    // 세션이 존재할 경우 세션 반환, 없을 경우 null 반환
    HttpSession session = req.getSession(false);

    String value = (String) session.getAttribute(AUTHORIZATION_HEADER); 	// 가져온 세션에 저장된 Value 를 Name 을 사용하여 가져옵니다.
    System.out.println("value = " + value);

    return "getSession : " + value;
}

마무리

• 세션을 사용하면서 단점으로 꼽히는 것은 요청을 진행할 때마다 세션 저장소에 세션 ID를 조회하는 작업을 통해서 DB 접근이라는 로직이 한번 더 수행된다는 점
• 이런 과정에서 그럼 이제는 더 좋은 방법이 없을까 하고 등장한 것이 JWT이다.

---

참고자료

• 항해99 Spring Master 수업자료
• https://velog.io/@jinyoungchoi95/JWTJson-Web-Token-%EC%9D%B8%EC%A6%9D%EB%B0%A9%EC%8B%9D Cookie과 Session으로 가득차던 인증 체계