토큰기반 인증 (Token-based Authentication)
session 방식과 달리 token 방식 인증에서는 서버가 세션을 저장하지 않는다. 대신 클라이언트와 소통을 위해 토큰을 만들어 발행하여 response의 cookie에 값을 담아 전달한다. 즉, 클라이언트에서 인증 정보를 보관하게 되는 것이다.
토큰을 클라이언트에 저장해도 정말 괜찮은 걸까요? 기본적으로 클라이언트는 XSS, CSRF공격에 노출이 될 위험이 있으니 민감한 정보를 담고 있어서는 안된다. 그렇다면 "민감한 정보는 클라이언트에 담으면 안 된다면서, 인증에 사용되는걸 클라이언트에 담는다고?" 라는 의문이 생길 수 있는데...
토큰은 유저 정보를 암호화한 상태로 담을 수 있고, 암호화했기 때문에 클라이언트에 담을 수 있다!
토큰기반 인증이 필요한 이유
세션 기반 인증은 서버(혹은 DB)에 유저 정보를 담는 인증 방식이다. 서버에서는 유저가 민감하거나 제한된 정보를 요청할 때마다 "지금 요청을 보낸 유저에게 우리가 정보를 줘도 괜찮은가?" 를 확인하기 위해 가지고 있는 '세션 값'과 일치하는지 확인한다. 매 요청마다 데이터베이스를 살펴보는 것이 불편다. 따라서 서버에 부담이 덜한 토큰기반 인증이 생겨나게 되었다.
JWT
- 개념: 토큰기반 인증 중 가장 대표적인 방법. JSON 포맷으로 사용자에 대한 속성을 저장하는 웹 토큰
- 종류:
- Access Token: 정보들에 접근할 수 있는 권한부여에 사용
- Refresh Token: Access Token 이 만료되면 Refresh Token 으로 재발급
클라이언트가 처음 인증을 받게 될 때(로그인 시), access, refresh token 두가지를 다 받지만, 실제로 권한을 얻는 데 사용하는 토큰은 access token 이다. Access token의 유효기간이 만료된다면 refresh token을 사용하여 새로운 access token을 발급받습니다. 이때, 유저는 다시 로그인할 필요가 없다.
- 구성 요소 : 헤더, 페이로드, 서명
- header : Header는 이것이 어떤 종류의 토큰인지(지금의 경우엔 JWT), 어떤 알고리즘으로 sign(암호화) 할지가 적혀있다.
{
"type" : "JWT",
"alg": "HS256"
}이 JSON 객체를 base64 방식으로 인코딩하면 JWT의 첫 번째 부분이 완성된다.
2. payload: Payload에는 정보가 담겨 있습니다. 어떤 정보에 접근 가능한지에 대한 권한을 담을 수도 있고, 사용자의 유저 이름 등 필요한 데이터는 이곳에 담아 암호화 시킨다. 물론 암호화(헤더에서 정의한)가 될 정보지만, 민감한 정보는 되도록 담지 않는 것이 좋다.
{
"sub": "someInformation",
"name": "phillip",
"iat": 151623391
}첫번째 부분과 마찬가지로, 위 JSON 객체를 base64로 인코딩하면 JWT의 두 번째 블록이 완성된다.
3. signature: base64로 인코딩된 첫번째, 그리고 두번째 부분이 완성 되었다면(--> 이는 누구나 쉽게 decoding 할 수 있음), 원하는 비밀 키(암호화에 추가할 salt)를 사용하여 암호화한다(--> JWT가 스스로를 안전하다고 증명하는 이유이다!)
4. JWT의 최종 형태 : header + "." + payload + "." + signature
토큰기반 인증 절차
(이미지 출처: 코드스테이츠)
- 클라이언트가 서버에 아이디/비밀번호를 담아 로그인 요청을 보낸다.
- 아이디/비밀번호가 일치하는지 확인하고, 클라이언트에게 보낼 암호화된 토큰을 생성한다.
- access/refresh 토큰을 모두 생성한다.
- 토큰에 담길 정보(payload)는 유저를 식별할 정보, 권한이 부여된 카테고리(사진, 연락처, 기타등등)이 될 수 있다.
- 두 종류의 토큰이 같은 정보를 담을 필요는 없다.
- 토큰을 클라이언트에게 보내주면, 클라이언트는 토큰을 저장한다.
- 저장하는 위치는 local storage, cookie, react의 state 등 다양하다.
- 클라이언트가 HTTP 헤더(authorization 헤더)에 토큰을 담아 보낸다.
- bearer authentication을 이용한다.
- 서버는 토큰을 해독하여 "아 우리가 발급해준 토큰이 맞네!" 라는 판단이 될 경우, 클라이언트의 요청을 처리한 후 응답을 보내준다.
토큰기반 인증의 장점
-
Statelessness & Scalability (무상태성 & 확장성)
- 서버는 클라이언트에 대한 정보를 저장할 필요 없다 (토큰 해독이 되는지만 판단)
- 클라이언트는 새로운 요청을 보낼때마다 토큰을 헤더에 포함시키면 된다
- 서버를 여러개 가지고 있는 서비스라면 더더욱 토큰기반 인증이 알맞은 인증방식이다 (같은 토큰으로 여러 서버에서 인증 가능)
-
안전하다
- 암호화 한 토큰을 사용하고, 암호화 키를 노출 할 필요가 없기 때문에 안전하다
-
어디서나 생성 가능하다
- 토큰을 확인하는 서버가 토큰을 만들어야 하는 법이 없다
- 토큰 생성용 서버를 만들거나, 다른 회사에서 토큰관련 작업을 맡기는 것 등 다양한 활용이 가능하다
-
권한 부여에 용이하다
- 토큰의 payload(내용물) 안에 어떤 정보에 접근 가능한지 정할 수 있습다
- ex) 서비스의 사진과 연락처 사용권한만 부여
세션기반인증 & 토큰기반인증 차이
세션기반 인증은 서버(혹은 DB 통합)에 유저에 대한 정보를 저장하고 있다. 즉 메모리 공간을 서버쪽에서 차지하고 있고, 자원을 사용하고 있으므로 유저가 많으면 많을수록 성능이 떨어지기 마련이다(사용하는 유저가 많으면 토큰기반 인증이어도 과부하가 될 수 있겠지만, 세션기반 인증만큼은 아니다). 어느 한쪽이 더 안전한 인증 방식이라고는 얘기할 수 없지만, 앱의 확장을 고려한다면(여러개의 서버를 사용하며 점점 커져가는 앱이라면), 토큰기반 인증을 사용하는 것을 고려해봐야 할 것이다.
세션은 보통 하나의 서버에서만 접속 상태를 저장한다. 여러 개의 서버에서 같은 세션 데이터에 접근하려고 한다면, (인증 정보를 여러 서버가 공유해야 하니까) session clustering 혹은 공통 session store를 사용해야 하는 번거로움이 있다. 따라서 불가능한것은 아니다.
토큰기반 인증에서 서버가 해야 하는 일은, salt를 알고 verify 하기만 하면 됌...!. 클라이언트로만 인증하면 서버의 부담이 없다.
