🔥TIL#6. 인증(Authentication) & 인가(Authorization)

What you will learn?

1. 인증과 인가의 정의.
2. 암호화 관련 기술 및 이론.
3. 단방향 해쉬처리를 위해 bcrypt library 사용하기.
4. 암호화/복호화 대상을 위해 JWT(Json Web Token) 사용하기.

1. 인증과 인가의 정의.

1. 인증(Authentication):
   유저의 identification를 확인하는 과정.
   account, password 정보를 보내면 이를 서버에서 체크하는 절차를 타는데 평문을 이용하면 보안 문제를 유발하므로 암호화 과정이 필요하다.
2. 인가(Authorization):
   request 수신시 인증된 유저의 요청인지를 확인하는 절차.
   기본 기능은 물론 Netflix 같은 서비스는 이용가능 기간 등의 정보도 있을 것이다.

2. 암호화 관련 기술 및 이론.

1. 단방향 해쉬함수
   중요한 정보(password 또는 개인신용정보)의 경우 보안을 위해 복호화가 불가능한 암호화 algorithm을 사용한다. HS256이 대표적이며 이런 algorithm을 '단방향 해쉬함수 처리'라 부른다.
   단방향 해쉬함수는 다음 취약점을 갖는다.

   1. Rainbow table attack: 미리 해쉬값들을 계산해 놓은 테이블.
      해쉬함수는 원래 빠른 데이터 검색기능을 위해 설계된 것으로 이를 이용, 공격자는 매우 빠른 속도로 임의의 문자열의 다이제스트와 대상 다이제스트를 비교할 수 있다. 이런 방식으로 password를 추측하면 긴시간을 들이지 않고 공격이 가능하다.
      이를 해결하기 위해 암호화하는 측에선 salt, Key Stretching 등의 기술을 추가로 적용한다.
      
   2. Salt, Key Stretching
      • Salt : 실제 비밀번호 외에 랜덤 데이터를 추가하여 Hash 처리하는 방법.
      • Key Stretching : Salt 포함한 Hash를 다시 Hash 처리하는 방법.

2. 복호화 가능한 암호화
   보안적으로 중요하지 않은 정보(보안상 탈취되도 큰 의미가 없는 데이터)는 암호화/복호화시 사용하는 secret key만 비공개로 처리, requester가 암호화된 정보를 보내면 responser는 secret key 기반으로 이를 복호화하여 정보를 처리한다.
   Token이 대표적인 예로 login을 통해 인증된 사용자에게 Service는 암호화된 token을 발급하면 사용자 측 web client의 local storage나 session 에 저장, 이 후 사용자 request시 token을 포함하면 Service는 token정보를 기반으로 사용자의 인가정보를 확인하여 Service 재공여부를 제어한다.

3. 단방향 해쉬처리를 위해 bcrypt library 사용하기

1. 'bcrypt' 패키지를 pip로 설치.

pip install bcrypt

2. bcrypt 로 Hash 처리

import bcrypt

password = "1234"
salt     = bcrypt.getsalt()
print(salt)      # b'$2b$12$aj/EqXuq4/Dq83gaNlNHa.'

hashed_pw = bcrypt.hashpw(password.encode(), salt)
print(hashed_pw) # b'$2b$12$aj/EqXuq4/Dq83gaNlNHa.HMbvJHjp4F0T9c2ITj0Ez6sdiWwR/ai'

if bcrypt.checkpw(password.encode(), hashed_pw):
	return 'allowed password'
else:
	return 'non-allowed password'

• hashpw() 호출시 password는 'bytes' 형식으로 입력되야 한다. 위에선 string 이므로 encode() 를 통해 bytes로 변경.
• salt값은 bcrypt.gensalt()를 통해 생성 할 수 있다. 이를 통해 hashed된 pw 를 얻는다.
• checkpw() 를 통해 hashed된 암호와 평문을 비교, 매칭되는지를 확인 할 수 있다.
  그런데 암호화시 사용된 salt 반영여부를 어떻게 알 수 있을까?
• 위에서 salt와 hashed_pw 출력값을 비교해보면 salt값이 hashed_pw에 '.'를 기준으로 포함되어 있는것을 알 확인 할 수 있다. 즉 암호화된 데이터안에 salt가 존재하므로 checkpw 과정시 비교할 평문만 있으면 충분하다.

4. 암호화/복호화 대상을 위해 JWT(Json Web Token) 사용하기.

1. 'pyjwt' 패키지를 pip로 설치

pip install pyjwt

2. jwt로 Token 만들기

import jwt

# json 형식의 정보를 HS256 알고리즘으로 SECRET_KEY 를 적용하여 encoding
token = jwt.encode({'user_id':5}, SECRET_KEY, algorithm='HS256')

# token이 발급될때 사용했던 secret 키와 algorithm 으로 decoding
decodeFromToken = jwt.decode(token, SECRET_KEY, algorithm='HS256')

• JWT 로 encode/decode 시 secret키와 algorithm을 지정해야 한다.
• secret 키의 경우 외부로 공개되면 안 된다. 특히 github로 버전 관리하는 경우 해당 secret은 git 관리 대상에서 제외하여 사용해야 한다.