Token-based Authentication

김동현·2021년 8월 18일

Authentication

목록 보기
6/7

토큰기반 인증을 쓰는 이유

  • 세션기반 인증 = 서버(혹은 DB)에 유저 정보를 담는 방식
  • "이 부담을 클라이언트에게 넘겨줄순 없을까?"에서 고안되었다.
  • 대표적인 토큰기반 인증 -> JWT(JSON Web Token)

토큰?

  • 화폐로 사용하는 토큰을 생각해보자
    • 오락실에서 사용하는 토큰
    • 행사에 입장할 때 사용하는 토큰
    • 놀이공원에 입장료를 내면 주는 토큰
  • "나는 돈을 지불했고, 이 시설을 사용할 수 있어!"라는 메세지를 담고 있다.

토큰을 클라이언트에 저장하는 것이 위험하지 않을까?

여기서 토큰은 유저 정보를 암호화한 상태로 담을 수 있고, 암호화했기 때문에 클라이언트에 담을 수 있다.

JWT

Json Web Token의 약자
json포맷으로 사용자에 대한 속성을 저장하는 웹 토큰

JWT의 종류

  1. Access Token
  2. Refresh Token
    Access token은 보호된 정보들(유저의 이메일, 연락처, 사진 등)에 접근할 수 있는 권한 부여에 사용한다.
    클라이언트가 처음 인증을 받게 될 때(로그인 시), access, refresh token 두가지를 다 받지만, 실제로 권한을 얻는데 사용하는 토큰은 access token 이다.
    권한을 부여 받는데엔 access token 만 가지고 있으면 된다.
    하지만 access token을 악의적인 유저가 얻어냈다면 자신이 유저인것 마냥 서버에 여러가지 요청을 보낼 수 있기에 비교적 짧은 유효기간을 주어 탈취되더라도 오랫동안 사용할 수 없도록 하는 것이 좋다.
    Access token의 유효기간이 만료된다면 refresh token을 사용하여 새로운 access token을 발급 받는다. 이때 유저는 다시 로그인할 필요가 없다.
    유효기간이 긴 refresh token을 악의적인 유저가 얻어낸다면 큰 문제가 될 것이다.
    그렇기 때문에 유저의 편의보다 정보를 지키는 것이 더 중요한 웹사이트들은 refresh token을 사용하지 않는다.

JWT의 구조


1. Header

  • 어떤 종류의 토큰인가?
  • 어떤 알고리즘으로 암호화 하는가?
{
  "alg": "HS256",
  "typ": "JWT"
}
  1. Payload
  • 유저의 정보
  • 권한을 부여 받았는가?
  • 기타 필요한 정보
{
  "sub": "someInformation",
  "name": "phillip",
  "iat": 151623391
}
  1. Signature
  • Header, Payload를 base64 인코딩한 값과 salt값의 조합으로 암호화된 값
HMACSHA256(base64UrlEncode(header) + '.' + base64UrlEncode(payload), secret);

JWT 사용 예시

JWT는 권한 부여에 굉장히 유용하다.
새로 다운받은 A라는 앱이 Gmail과 연동되어 이메일을 읽어와야 한다고 생각해보자
유저는
1. Gmail 인증서버에 로그인 정보(아이디, 비밀번호)를 제공한다.
2. 성공적으로 인증시 JWT를 발급받는다.
3. A앱은 JWT를 사용해 해당 유저의 Gmail 이메일을 읽거나 사용할 수 있다.

토큰기반 인증 절차


1. 클라이언트가 서버에 아이디 / 비밀번호를 담아 로그인 요청을 보낸다.
2. 아이디 / 비밀번호가 일치하는지 확인하고, 클라이언트에게 보낼 암호화된 토큰을 생성한다.

  • access / refresh 토큰을 모두 생성한다.
    • 토큰에 담길 정보(payload)는 유저를 식별할 정보, 권한이 부여된 카테고리(사진, 연락처, 기타등등)이 될 수 있다.
      두 종류의 토큰이 같은 정보를 담을 필요는 없다
  1. 토큰을 클라이언트에게 보내주면, 클라이언트는 토큰을 저장한다.
  • 저장하는 위치는 local storage, cookie, react의 state 등 다양하다.
  1. 클라이언트가 HTTP 헤더(authorization 헤더)에 토큰을 담아 보낸다.
  • bearer authetication을 이용한다.
  1. 서버는 토큰을 해독하여 "아 우리가 발급해준 토큰이 맞네!"라는 판단이 될 경우, 클라이언트의 요청을 처리한 후 응답을 보내준다.

토큰기반 인증의 장접

  1. statelessness & Scalability (무상태성 & 확장성)
  • 서버는 클라이언트에 대한 정보를 저장할 필요 없다.(토큰 해독이 되는지만 판단한다.)
  • 클라이언트는 새로운 요청을 보낼때마다 토큰을 헤더에 포함시키면 된다.
    • 서버를 여러개 가지고 있는 서비스라면 더더욱 빛을 발휘한다.(같은 토큰으로 여러 서버에서 인증 가능)
  1. 안전한다.
  • 암호화 한 토큰을 사용하고, 암호화 키를 노출 할 필요가 없기 때문에 안전한다.
  1. 어디서나 생성 가능하다.
  • 토큰을 확인하는 서버가 토큰을 만들어야 하는 법이 없다.
  • 토큰 생성용 서버를 만들거나, 다른 회사에서 토큰관련 작업을 맡기는 것 등 다양한 활용이 가능하다.
  1. 권한 부여에 용이하다.
  • 토큰의 payload(내용물) 안에 어떤 정보에 접근 가능하지 정할 수 있다.
    • ex) 서비스의 사진과 연락처 사용권한만 부여
profile
김동현
개발자로서의 첫걸음
이전 포스트

CSRF

다음 포스트

OAuth 2.0

0개의 댓글