Token(토큰)

귀찮Lee·2022년 7월 28일
0
post-custom-banner

◎ Token (토큰)

  • 토큰 기반 인증 필요성
    • 세션 기반 인증 = 서버 (or DB)에 유저 정보를 담는 방식
      • 인증이 필요하거나 권한 확인이 필요한 순간마다 "지금 요청을 보낸 유저에게 우리가 정보를 줘도 괜찮은가?"를 확인하기 위해 가지고 있는 세션 값과 일치하는지 확인
    • 이 부담을 클라이언트에게 넘겨줄순 없을까? 에서 고안됨
  • 토큰
    • 시스템에서 보안 객체의 접근 관리에 사용되는 객체 또는 장치
    • 유저 정보를 암호화한 상태로 담을 수 있고, 암호화 했기 때문에 클라이언트에 담을 수 있다.
    • 대표적인 토큰기반 인증 : JWT(JSON Web Token)

◎ JWT(JSON Web Token)

  • JWT(JSON Web Token)

    • 데이터를 안전하고 간결하게 전송하기 위해 고안된 인터넷 표준 인증 방식
    • JSON 포맷으로 사용자에 대한 속성을 저장하는 웹 토큰
    • 토큰 인증 방식에서 가장 범용적으로 사용되며 JSON 포맷을 암호화하거나 서명하여 그 값을 Web Token으로써 인증 과정에 사용
  • JWT의 종류

    • 액세스 토큰(Access Token)

      • 보호된 정보들에 접근할 수 있는 권한부여에 사용
      • 비교적 짧은 유효기간을 주어 탈취되더라도 오랫동안 사용할 수 없도록 함
    • 리프레시 토큰(Refresh Token)

      • 액세스 토큰의 유효기간이 만료되었을 때, 리프레시 토큰을 사용하여 액세스 토큰을 발급받음
      • 유효기간이 긴 리프레시 토큰 마저 악의적인 유저가 얻어낸다면 큰 문제가 됨
      • 저의 편의보다 정보를 지키는 것이 더 중요한 웹사이트들은 리프레시 토큰을 사용하지 않는 곳이 많음
    • 리프레시 토큰(Refresh Token)

  • JWT의 구조

    • Header

      • 어떤 토큰의 종류인지 나타냄
      • 어떤 알고리즘으로 암호화하는지 나타냄
      { "alg" : "HS256", "typ" : "JWT" } 
    • Payload

      • 유저의 정보
      • 권한을 부여 받았는가?
      • 기타 필요한 정보
      { "sub" : "someInfo", 
       "name" : "username",
       "iat" : 151621552 } 
    • Signature

      • Header, Payload를 base64 인코딩한 값과 salt값의 조합으로 암호화된 값
      HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)

◎ JWT의 장단점

  • JWT의 장점

    • 무상태성과 확장성(Statelessness & Scalability)

      • 서버에 클라이언트 정보를 저장할 필요 없음
      • 클라이언트는 요청을 보낼 때마다 토큰을 헤더에 포함시킴
      • 서버가 여러개이어도 여러 서버에서 인증 가능
    • 안전성

      • 암호화한 받은 토큰을 사용하고, 암호화 키를 노출할 필요가 없음
    • 어디서나 생성 가능

      • 토큰 생성용 서버를 만들거나, 다른 회사에서 토큰 관련 작업을 맡기는 것 등 다양한 활용이 가능
    • 권한 부여에 용이

      • Payload(내용물) 안에 해당 유저가 어떤 정보에 접근 가능한지 정할 수 있음
      • Ex) 사진과 연락처 사용권한 부여 / 사진 권한만 부여 / 연락처 권한만 부여
  • JWT의 단점

    • Payload는 해독할 수 있다.

      • base64로 인코딩되어, 쉽게 디코딩 가능
      • Payload에는 중요한 정보를 넣으면 안됨
    • 토큰의 길이가 길어지면, 네트워크에 부하를 줄 수 있다.

      • 정보의 양이 많아질수록 길어짐, 길이가 긴 토큰을 전송하면 네트워크에 부하를 줌
    • 토큰은 자동으로 삭제되지 않는다.

      • Stateless 하므로 자동으로 삭제되지 않음, 토큰 만료시간을 꼭 추가해야 함
    • 토큰은 어딘가에 저장되어야 한다.

      • 클라이언트가 토큰을 가지고 있다가 인증이 필요한 요청을 보낼 때마다 함께 전송해야 함

◎ JWT 사용 예시 및 인증 절차

  • 타 사이트 이용 예시

    1. Gmail 인증서버에 로그인 정보(아이디, 비밀번호) 제공
    2. 성공적으로 인증 시 JWT를 발급받는다.
    3. JWT를 사용해 해당 유저의 Gmail 이메일을 읽거나 사용할 수 있다.
  • 토큰기반 인증 절차

    1. 클라이언트가 서버에 아이디/비밀번호를 담아 로그인 요청을 보냄
    2. 아이디/비밀번호가 일치하는지 확인하고, 클라이언트에게 보낼 암호화된 토큰을 생성
      • 액세스 / 리프레시 토큰 생성
      • 토큰에 담길 정보(payload)는 유저가 식별할 정보, 권한이 부여된 카테고리(사진, 연락처 ...)가 될 수 있다.
      • 두 종류의 토큰이 같은 정보를 담을 필요는 없다.
    3. 토큰을 클라이언트에게 보내주면, 클라이언트는 토큰을 저장한다.
      • 저장하는 위치는 Local Stroage, Session Stroage, Cookie등 다양하다.
    4. 클라이언트가 HTTP 헤더 (Authorization 헤더) 또는 쿠키에 토큰을 담아 보낸다.
      • bearer authentication을 이용
    5. 서버는 토큰을 해독하여 맞다고 판단될 경우, 클라이언트의 요청을 처리한 후 응답을 보내준다.

추가로 보면 좋은 내용

profile
배운 것은 기록하자! / 오류 지적은 언제나 환영!
post-custom-banner

0개의 댓글