# 인증(Authentication)이란?
-
인증은 유저의 identification을 확인하는 절차이다.(유저의 아이디와 비밀번호를 확인하는 절차)
-
인증 절차(로그인 절차)
- 유저 아이디와 비밀번호 생성
- 유저 비밀번호를 암호화하여 DB에 저장
- 유저 로그인 -> 아이디와 비밀번호 입력
- 유저가 입력한 비밀번호를 암호화되어 DB에 저장된 유저 비밀번호화 비교
- 일치하면 로그인 성공
- 로그인 성공하면
access token을 클라이언트에게 전송. - 유저는 로그인 성공한 이후부터
access token을 첨부해서 서버에 request를 전송함으로써 매번 로그인할 필요가 없어진다.
-
유저 비밀번호 암호화
-
유저의 비밀번호는 반드시 암호화되어 DB에 저장되어야 한다.
-
내부 인력도 유저의 비밀번호를 알 수 없다.
-
비밀번호 암호화에는 단방향 해쉬 함수(one-way hash function)가 일반적으로 쓰인다.
-
단방향 해시 함수는 원본 메시지를 변환하여 암호화된 메시지인
다이제스트(digest)를 생성한다. 원본 메시지를 알면 암호화된 메시지를 구하기는 쉽지만 암호화된 메시지로는 원본 메시지를 구할 수 없어서(쇄도 효과로 인해)단방향성(one-way)이라고 한다. -
쇄도 효과(avalanche effect): 산사태 효과는 어떤 암호 알고리즘이 입력값에 미세한 변화를 줄 경우 출력값에 상당한 변화가 일어나는 성질을 의미한다. ... 만약 암호 알고리즘의 쇄도 효과가 크지 않다면, 그러한 성질을 이용하여 암호분석이 더 쉽게 가능할 수 있다.
-
-
-
단방향 해쉬 함수의 약점
- 인식 가능성(recognizability)
- Rainbow table은 해시 함수로 변환 가능한 모든 암호화된 메시지 값을 저장해 둔 표다. 암호화되어 저장된 비밀번호로부터 원본 메시지(원래의 비밀번호)를 추출하는데 사용된다. 이를 Rainbow table attack이라고 한다.
- 속도(speed)
- 해시 함수의 처리 속도가 빠르기 때문에 무차별 대입 공격을 당할 수 있다. 무차별 대입 공격이란 성공할 때까지 가능한 모든 조합의 경우의 수를 시도해 원하는 공격을 시도하는 것으로 대표적인 예로 크렉 등 소프트웨어를 이용하여 password를 추측하는 방법이 있다.
- 인식 가능성(recognizability)
-
단방향 해쉬 함수의 취약점 보완
- Salting
- 실제 비밀번호 이외에 추가로 랜덤 데이터를 더해서 해시값을 계산하는 방법
- Key Stretching
- 단방향 해쉬값을 계산한 후 그 해쉬값을 또 해쉬 하고, 또 이를 반복하는 것을 말한다.
- bcrypt
- Salting과 Key Stretching을 구현한 해쉬 함수중 가장 널리 사용되는 것이 bcrypt이다. bcrypt는 처음부터 비밀번호를 단방향 암호화하기 위해 만들어진 해쉬함수 이다.
- Salting
# 인가(Authorization)란?
-
인가는 유저에게 요청(request)을 실행할 수 있는 권한이 있는지를 확인하는 절차
-
예를 들어, 유저에게 고객 정보를 열람할 수 있는 권한만 있는지, 아니면 고객 정보를 열람 및 수정까지 할 수 있는 권한이 있는지를 확인하는 것
-
인가는
JWT를 통해 구현된다.
-
-
인가 절차
- 인증(Authentication) 절차를 통해
access token생성하며, 이 때access token에는 유저를 식별할 수 있는 정보가 들어가 있어야 한다.(예를 들어 user id) - 유저가 request를 보낼 때
access token츨 첨부한다. - 서버에서 유저가 보낸
access token을 복호화한다. - 복호화된 데이터를 통해 user id를 얻는다.
- user id를 사용하여 database에서 해당 유저의 권한(permission)을 확인한다.
- 유저가 충분한 권한을 가지고 있으면 해당 요청을 처리한다.
- 유저가 권한을 가지고 있지 않으면 Unauthorized Response(401) 혹은 다른 에러 코드를 보낸다.
- 인증(Authentication) 절차를 통해
Difference & Repetition