🏃🏼 인증&인가 이해하기1

1. 인증(Authentication)

인증 : 증명하는 것 ! (회원가입&로그인)
인증을 왜 할까???
* 추적하기 위해서!!
ex. 이 사람이 돈을 내고 넷플릭스를 보는 건지, 정기구독하는 사람인 건지 등

1-1. 그렇다면 어떻게 암호화할까?

• batabse에 저장 시 개인정보를 해상하여 복원 할 수 없도록 해야하며
• ssl을 적용하여 암호화 해야한다.

일반적으로 단방향 해쉬 함수(one-way hash function)가 주로 쓰인다.

방향이 한쪽으로만 되는 것 !
보통 해쉬함수는 자료구조에서 빠른 자료의 검색, 데이터의 위변조 체크를 위해서 쓴다.
Md5, sha-1 는 이미 매커니즘이 드러나서 보약에 취약하고,
요즘에는 sha-256 를 많이 쓴다.

✋🏻 근데! 같은 번호면 암호화 된 것도 같음
예를 들어 내가 '1234'를 입력하면 암호화 된 것은 'adfadfefawsef121212'로 가정하자
내 옆사람도 '1234'를 입력하면 똑같이 'adfadfefawsef121212'로 암호화 됨!

이런 허점을 보완하고자
salting & key stretching 을 사용한다.

• salting : 소금을 친다
  암호화 된 것에 소금을 쳐서(랜덤된 단어를 집어넣어서) 더 어렵게!!

• key stretching(=키 스트랫칭) : 소팅을 여러번 하는 것!
  소팅을 여러번 하면서 더더더더 어렵게 만드는 것!

  위에 두 가지는 bcrypt라는 라이브러리를 통해서 한다

  소팅이랑 키스트랫을 사용하는 라이브러리
  알고리즘
  알고리즘 옵션(몇번 돌린건지)
  Salt (랜덤한 값)
  Hashed password :

👀 그럼 실제 서버에서는 어떻게 인증을 할까?
회원가입하면서 입력한 비밀번호를 암호화 해놓고,
로그인하면서 입력한 비밀번호를 다시 암호화해서 암호화 된 두개의 문자를 비교!
👀 왜냐?!
암호화된 비밀번호를 다시 비밀번호로 바꿀 수 없기 때문에!!!

2. 인가(Authorization)

http는 stateless한 성질이 있어서(Http 블로그에 해당 내용 기재)
웹이 알 수 있도록 티켓을 줘야함!
이 티켓을 Json Web Token 이라고 부름

2-1. JWT

토큰은 어디에 보관할까 ? >>>>>>> 쿠키나 세션 등 스토리지에 저장한다. 즉,브라우저에 저장

브라우저에 있는 이 토큰을 꺼내서 헤더에 담아 서버로 보낸다.

토큰은 위의 이미지처럼 세 부분으로 되어 있다(헤더, 내용, 서명)

1. 헤더

토큰의 타입과 해시알고리즘 정보가 들어간다.
해더의 내용은 base64 방식으로 인코딩해서 JWT의 가장 첫부분에 기록
어떤 알고리즘으로 되어 있는지 서버한테 알려준다.

2. 내용

exp와 같이 만료시간을 나타내는 공개 클레임이다
클라이언트와 서버간 협의하에 사용하는 비공개 클레임이다
두가지 요소를 조합하여 작성한 뒤 bse64인코딩하여 두번째 요소로 위치한다
“exp”:1533234324 와 같은 정보는 초 단위 의미!
사용자를 식별 하는 정보도 들어간다.
다만, 보안에 취약하니 이메일, 이름 등 사용자의 직접적인 정보는 넣지 말고,
id 값(테이블 생성할 때 유저에게 부여되는 PK값)을 넣어주는 것이 좋다!
user_id = 1 << 이런식으로

3. 서명

JWT를 누가 발행했는지 시크릿 키로 담아준다
프론트엔드가 JWT를 백엔드 api로 전송하면 JWT의 서명부분을
복호화하여 서버에서 생성한 JWT가 맞는지 확인한다

🤷‍♂️ 서명 부분을 왜 복호화할까?
헤더랑 내용은 데이터가 똑같이 알 수 없는 문자열로 되어 있으나
암호화 된 건 아니다. 단순히 인코딩 된것

3. 정리

정리를 해보면, 인증과 인가는 보안을 위해 대부분 단방향으로 이루어진다.
그러나, 양방향인 경우도 있다.
🥑 예를 들어,
배송지정보, 카드번호, 병원에서 회원번호(주민번호) 같은 것들은 양방향이다
다시 꺼내서 써야하는 것들!
ex. 단방향이라면 내가 쿠팡에서 주문하는데 주소가 저장되어 있지 않고, 주문 할 때마다 주소를 입력해야한다.