[WEB] 인증(Authentication) & 인가(Authorization)💡

중요중요중요 x 100

인증 & 인가

API에서 가장 자주 구현되는 기능 중 하나로,
Private한 API, Public한 API도 기본적인 인증과 인가를 요구한다.
모든 인증과 인가는 bcrypt 라이브러리를 사용한다.

---

인증(Authentication)💡

인증은 유저의 identification을 확인하는 절차로
쉽게말해 유저의 ID와 PASSWORD를 확인하는 절차이다.

로그인 절차

1. 유저 아이디와 비번 생성 (회원가입)
2. 유저 비번 암호화 해서 DB에 저장. save()
3. 유저 로그인 -> 아이디와 비밀번호 입력 
4. 유저가 입력한 비밀번호 암호화 한후 암호화되서 DB에 저정된 유저 비밀번호와 비교.
5. 일치하면 로그인 성공
6. 로그인 성공하면 `access token`을 클라이언트에게 전송.
7. 유저는 로그인 성공후 다음부터는 `access token`을 첨부해
request를 서버에 전송함으로서 매번 로그인 해도 되지 않도록 한다.

인증이 왜 필요할까?

• 어떤 사용자가 서비스를 사용하는지 판별
• 어떤 서비스를 어떻게 사용하는지 판별

인증에 필요한 사용자 정보

ID, Email PassWord 등등

Password가 특히 아주아주 중요하며, 개인정보보호법에 의해
'비밀번호, 바이오, 주민등록번호 등과 같은 주요 개인정보가 암호화되지 않고 개인정보처리 시스템에 저장되거나 네트워크를 통해 전송될 경우 노출 및 위·변조 등의 위험이 있으므로 암호화 등의 안전한 보호조치가 제공되어야 한다.'라고
명시되어 있기 때문에

국가에서 권고하는 상용 알고리즘을 이용해 개인정보를 암호화해야 한다.

비밀번호를 암호화하는 방법(단방향 해쉬)

사용자의 비밀번호는 '비밀'번호인 만큼 암호화하여 저장해야한다.
그럼 암호화하여 저장하는 건 어떻게 해야할까?
비밀번호 암호화에는 '단방향 해쉬 함수(one-way hash function)'가 쓰인다.

입력받은 메시지를 암호화하여 저장하고,
암호화가 된 메시지는 원본으로 돌릴 수 없어 단방향성(one-way)라고 한다.

ex) 한 사이트의 비밀번호를 잊어버렸다고 했을 때, 비밀번호를 알려주는 프로세스가 아닌 비밀번호 재설정 프로세스가 나오는 걸 생각하면 쉬움

만약 1234를 SHA-256 단방향 해싱한다고 가정했을 때의 결과값은
03ac674216f3e15c761ee1a5e255f067953623c8b388b4459e13f978d7c846f4이다.

import hashlib

a = hashlib.sha256()
a.update(b"test password")
a.hexdigest()

a.hexdigest()

# output
03ac674216f3e15c761ee1a5e255f067953623c8b388b4459e13f978d7c846f4

결과만 봐서는 완벽한 암호화인 것 같지만,
알고리즘으로 1234를 다시 해싱하면 항상 같은 값이 도출된다.

이와 같은 취약점을 이용하여 모든 해싱 경우의 수를 해시값으로 변경하여 판매하는 서비스도 존재한다. 부들부들

---

JSON WebToken(JWT)

signature = 서명
내가 만들어준 그 값이 일치하지 않는지 확인하는 과정
프론트에서 JWT를 백엔드 API 서버로 전송하면 전송받는 JWT의 값이 일치하는지 하지 않는지 확인한다.

유저가 로그인에 성공한 후에는 access token이라고 하는 암호화된 유저 정보를 첨부해서 request를 보내게 된다.
access token을 생성하는 방법에는 여러가지가 있는데, 그 중 가장 널리 사용되는 기술 중 하나가 JWT이다.
JWT는 말 그대로 유저 정보를 담음 JSON 데이터를 암호화 해서 클라이언트와 서버간에 주고 받는 것이다.

유저 로그인 -> access token -> 해당 유저의 정보

유저 로그인

POST /auth HTTP/1.1
Host: localhost:5000
Content-Type: application/json

{
    "username": "joe",
    "password": "pass"
}

access token

HTTP/1.1 200 OK
Content-Type: application/json

{
    "access_token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpZGVudGl0eSI6MSwiaWF0IjoxNDQ0OTE3NjQwLCJuYmYiOjE0NDQ5MTc2NDAsImV4cCI6MTQ0NDkxNzk0MH0.KPmI6WSjRjlpzecPvs3q_T3cJQvAgJvaQAPtk1abC_E"
}

그러면 서버에서는 access token을 복호화해서 해당 유저 정보를 얻게된다.

# 예를 들어 access token 'eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpZGVudGl0eSI6MSwiaWF0IjoxNDQ0OTE3NjQwLCJuYmYiOjE0NDQ5MTc2NDAsImV4cCI6MTQ0NDkxNzk0MH0.
KPmI6WSjRjlpzecPvs3q_T3cJQvAgJvaQAPtk1abC_E' 을 복호화 하면,

{	
	user_id = 1
}

값이 나온다.

인가(Authorization)💡

Authorization은 유저가 요청하는 request를 실행할 수 있는 권한이 있는 유저인가를 확인하는 절차 이다.
stateless > 로그인 요청과 로그인 한 유저가 해당 사용자가 맞는지 확인하는 요청은 독립적이다.

access token을 통해 해당 유저 정보를 얻을 수 있음으로 해당 유저가 가지고 있는
권한(permission)도 확인 할 수 있다.
매 http 요청마다 headers에 meta data로 입력된다.

JSON Web Token(JWT = string) 활용

기존 방식의 단점을 보완한 JWT 로직 서버와 서버간 시크릿키를 공유하여 사용한다.

1. http 요청(로그인)
2. 유저 정보 확인 후 해당 정보와 서버의 SECRET KEY활용하여 JWT생성
3. 해당 JWT 전송
4. JWT를 브라우저에 저장
5. JWT를 포함한 http 요청
6. JWT의 Signature 부분을 확인 후 해당 유저 정보 겟
7. HTTP 응답