📒 목차

📌 로그인 API 인증 구현 (토큰 기반 인증 시스템)
📌 Json Web Token
📌 authentication과 authorization
📌 회원 조회 API 인가 구현
📌 Passport module
🌈 오늘 하루

📌 로그인 API 인증 구현 (토큰 기반 인증 시스템)

토큰 기반 인증은 최근의 웹서비스에서 많이 사용되는 로그인 인증 방법이다. 해당 인증 방법을 알기 위해서는 서버 기반 인증 시스템에 대해 알아야 한다.

✅ 서버 기반 인증 시스템

기존의 서버 기반 인증 시스템은 서버 측에서 유저들의 정보를 기억하고 있어야 했다.
따라서 여러 가지 문제점이 발생하는데, 아래와 같은 문제들이 생겨났다.

• 서버가 유저의 인증 기록을 세션에 저장하는데, 로그인 유저가 많아지면 서버가 과부하 되는 문제제.

• 세션을 사용하면 분산된 시스템을 설계하고 서버를 확장하기 어려운 문제.

• 세션을 관리할 때 사용되는 쿠키는 여러 도메인에서 관리하는 것이 번거로운 문제.

위와 같은 문제점들을 해결하기 위해 토큰 기반 인증 시스템을 사용하게 되었다.

✅ 토큰 기반 인증 시스템의 장점

1. 무상태(Stateless) & 확장성(Scalability)

stateful server는 클라이언트에게 요청을 받을 때마다 상태를 유지하고 정보를 서비스 제공에 이용된다. 반면에, stateless server의 경우, 상태 정보를 저장하지 않고 서버는 클라이언트의 요청만으로 작업을 처리한다. 따라서 토큰을 사용하게 되면 서버를 확장하는데 적합한 환경을 제공할 수 있다.

2. 확장성(Extensibility)

로그인 정보가 사용되는 분야를 확장할 수 있다. 예를 들어 google 계정을 이용하여 notion, slack에서 사용하는 경우가 있다.

✅ 시스템 작동 원리

1. 유저가 아이디와 비밀번호로 로그인.

2. 서버 측에서 해당 계정 정보를 검증.

3. 계정 정보가 정확하다면, 서버 측에서 유저에게 signed 토큰(accesstoken)을 발급.

4. 클라이언트 측에서 전달받은 토큰을 저장해두고, 서버에 요청을 할 때마다 해당 토큰을 함께 서버에 전달.

5. 서버는 토큰을 검증하고, 요청에 응답.

💡 이러한 토큰 기반 인증 시스템의 구현체가 바로 Json Web Token 이다.

---

📌 Json Web Token

JWT는 웹 표준으로서 C, Java, Python, JS 등 대부분의 주류 프로그래밍 언어에서 지원되며 필요한 모든 정보를 자체적으로 가지고 있어 자가 수용적(Self-contained)이며 그렇기에 두 개체 사이에서 쉽게 전달될 수 있는 장점들을 가지고 있다.

JWT는 .으로 구분되는 Header, Payload, Signature의 3가지 문자열로 되어있다.

✅ Header (헤더)

Header는 토큰의 타입과 해싱 알고리즘이라는 두 가지 정보를 담고 있다.

✅ Payload (내용)

Payload에는 토큰에 담을 정보가 들어가며, 담는 정보의 한 조각은 name/value의 한 쌍으로 이루어진 Claim이라고 부른다.
Claim은 Registered, Public, Private의 세 분류로 나누어져 있으며 Registered Claim은 토큰 발급자, 토큰 제목, 토큰 만료시간, 토큰 발급 시간 등 토큰에 대한 정보를 담기 위해 이미 이름이 정해진 Claim이다.

✅ Signature (서명)

JWT의 마지막 부분은 서명으로, Header의 인코딩 값과 Payload의 인코딩 값을 합친 후 주어진 비밀키로 해싱하여 생성한다.

---

📌 authentication과 authorization

✅ authentication (인증)

로그인을 하는 것(로그인을해서 토큰을 받아오는 과정)

✅ authorization (인가)

로그인한 후, 로그인이 필요한 서비스들을 사용할 때 해당 유저임을 확인하는 것(리소스에 접근할 수 있도록 토큰을 확인하는 과정)

📌 회원 조회 API 인가 구현

유저 프로필 정보 조회하기 위해서는 로그인 한 사람만 본인의 프로필을 조회할 수 있기에 accesstoken을 통해 인가를 받아야 한다.

전제적인 Flow Chart는 아래와 같다.

✅ authorization (인가)

사용자의 인증이 필요한 경우 Client는 발급받은 JWT를 Requet Header(HTTP Header)에 실어 같이 보낸다. Backend는 JWT를 받고 Guard를 통해 JWT Strategy를 실행하고, Secret Key를 통해 JWT를 Decoding 한다.
JWT를 복호화 한 후에 원하는 API의 Business Logic이 수행된 후, Response 된다.

✅ Bearer

토큰을 통해 인증할 때 Bearer 용어를 붙여서 사용하는 약속으로 큰 의미가 없는 문자열이다.

---

📌 Passport module

Passport 는 인기 있는 node.js 인증 라이브러리로서 자격 증명(JWT, 사용자 이름/암호)을 확인하여 사용자를 인증하고, 인증 상태를 관리하고, 인증된 사용자에 대한 정보를 Route Handler에서 사용할 수 있도록 Request 객체에 첨부해 준다.

✅ Passport module 설치 명령어

$ yarn add @nestjs/passport
$ yarn add passport

---

🌈 오늘 하루

오늘은 토큰을 활용하는 로그인에 대하여 학습하였다. 로그인은 서비스를 만드는데 있어서 매우 중요한 기능이다. 개인정보를 포함하고 있는 기능이며, 로그인이 정상적으로 되어야지만, 다른 기능을 유저가 이용할 수 있기 때문이다. 오늘 배운 로그인 API뿐만 아니라 구글 또는 다른 기타 로그인 인증 방법을 통해 로그인 하는 방법을 배우는 것이 기대가 된다.