[S3U7] Token과 Hashing

📖Token

토큰 인증 방식은 최근 웹 애플리케이션에서 많이 사용되는 인증 방식 중 하나로 토큰을 사용하면 사용자의 인증 정보를 서버가 아닌 클라이언트 측에 저장할 수 있다. 클라이언트에 저장하기 때문에 세션 인증 방식의 비교해 서버의 부하나 메모리 부족 문제를 줄일 수 있다.

🏷️토큰 인증 방식의 흐름

🏷️토큰 인증 방식의 장점과 단점

장점

• 무상태성 : 서버는 비밀 키를 통해 클라이언트에서 보낸 토큰의 유효성만 검증하면 된다.
• 확장성 : 다수의 서버가 공통된 세션 데이터를 가질 필요가 없어 서버를 확장하기 더 용이하다.
• 어디서나 토큰 생성 가능 : 토큰의 생성과 검증이 하나의 서버에서 이루어지지 않아도 되기 때문에 토큰 생성만을 담당하는 서버를 구축할 수 있다.
• 권한 부여에 용이 : 토큰은 인증 상태, 접근 권한 등 다양한 정보를 담을 수 있기 때문에 사용자 권한 부여에 용이

단점

• 무상태성: 인증 상태를 관리하는 주체가 서버가 아니므로 해당 토큰을 강제로 만료시 킬 수 없다.
• 유효 기간: 토큰 탈취를 대비해 유효 기간을 짧게 설정하면 토큰이 만료 될 때마다 다시 로그인해야해서 좋은 않은 사용자 경험을 제공한다.
• 토큰의 크기: 토큰에 정보가 많이 담길 수록 네트워크 비용 문제가 생길 수 있다.

🏷️JWT (JSON Web Token)

JWT는 JSON 객체에 정보를 담고 이를 토큰으로 암호화하여 전송할 수 있는 기술이다.

JWT의 구성

• Header
  어떤 종류의 토큰인지, 어떤 알고리즘으로 암호화 되었는지 담고 있다.
  JSON 객체를 base64 방식으로 인코딩한다.
  base64은 디코딩하기 쉽기때문에 민감한 정보는 담지 않는다.(디코딩 링크)
• Payload
  유저의 정보, 권한, 기타 필요한 정보 등을 담고 있다.
  header와 마찬가지로 JSON 객체를 base64로 인코딩한다.
• Signature
  {base64(Header + Payload) + secert}를 암호화한 값
  JWT의 salt를 secert라고 한다.
  

🏷️액세스 토큰(Access Token)과 리프레시 토큰(Refresh Token)

Access Token

서버에 접근하기 위한 토큰으로 보안을 위해 유효기간이 보통 24시간 정도로 짧다.

Refresh Token

액세스 토큰이 만료되었을 때 새로운 액세스 토큰을 발급받기 위해 사용되는 토큰이다. 따라서 리프레시 토큰보다 긴 유효기간을 설정한다.

📖Hashing

🏷️Hashing 특징

• 해싱은 암호화 방식중에 하나로 복호화가 불가능하고 암호화만 가능하다.
• 해싱은 해시 함수(Hash Function)을 사용하여 암호화한다.
• 항상 같은 길이의 문자열을 리턴한다.
• 서로 다른 문자열에 동일한 해시 함수를 사용하면 반드시 다른 결과값이 나온다.
• 동일한 문자열에 동일한 해시 함수를 사용하면 항상 같은 결과값이 나온다.

🏷️레인보우 테이블과 솔트(Salt)

레인보우 테이블

해시 함수를 사용하면 같은 문자열은 항상 같은 결과값이 나온다는 특성을 이용해 암호화 이전 문자열과 해싱한 값을 기록해 둔 표

솔트

레이보우 테이블에 기록된 경우 유출되면 해싱 이전의 값을 알아 낼 수 있다.
암호화할 문자열 뒤에 임의의 값을 더해 해싱하면 유출되더라도 해싱 이전의 값을 알아내기 어려워진다.
이때 더해주는 임의의 값을 솔트라고 한다.