[10분 테코톡] 🎡토니의 인증과 인가

학습 목표

인증과 인가에 대한 지식 습득 및 복습
프로젝트에서 선택한 인증 방식에 대한 근거

인증과 인가란?

웹에서의 인증/인가

인증 이후 인가.

인증의 방법

0.사전 지식

서버와 클라이언트는 HTTP를 통해 소통

1. 인증하기 (Request Header)

브라우저에서 Base64 인코더를 이용해 암호를 보안화시켜 전달

문제는 사용자가 매번 인증(로그인)해야 한다.

2. 인증 유지하기 (Browser)

브라우저의 저장소를 이용 (로컬, 쿠키, 세션 등)
본문에서는 쿠키로 설명

그러나 이 방법은 해커에게 취약.
보통 클라이언트가 서버보다 보안 단계가 낮음.

3. 안전하게 인증하기 (Session)

사용자 정보를 클라이언트가 가지고 있지 않음.
세션의 만료기간을 정할 수 있음.
그러나 문제점이 존재함

서버가 여러대일때 응답요청이 이전과 다를 경우 세션이 유효하지 않음

이 때 별도의 세션 스토리지를 둬서 해결

그런데 또 문제가 있을 수 있음. 반대로 클라이언트가 여러대라면?

서버에 과부하가 갈 수 있음.

Stateful vs Stateless

무상태성과 상태성의 충돌.

이를 해결하기 위한 아이디어
정보의 요청과 응답 안에 사용자의 인가를 담아보자 => Token

4. 효율적으로 인증하기 (Token)

Json Web Token (JWT) - 디코딩이 쉬워 비밀번호 등의 민감한 정보를 담으면 안됨
시크릿 키 사용

그러나 단점... 액세스 토큰이 탈취당하면 해커는 사용자와 동등한 인가를 가지게 된다.

이에 대한 해결책으로 만료기간을 정함. 그러나 불편함이 여전히 존재
이를 보완하기 위에 나온 것이 Refresh Token

5. 다른 채널을 통해 인증하기 (OAuth)

생략.

마치며 - 더 알아보려면