[TIL] Token

👉 Token 기반 인증

왜 토큰을 사용하는가?

서버 기반 인증의 문제점
1. 세션 : 유저가 인증을 할 때, 서버는 이 기록을 서버에 저장을 해야한다. 이를 세션이라고 부른다. 대부분의 경우엔 메모리에 이를 저장하는데, 로그인 중인 유저의 수가 늘어난다면? 서버 렘이 과부화 가능성, 그를 위해 세션을 데이터 베이스에 저장한다면? 이 또한 유저의 수가 많으면 데이터베이스의 성능에 무리를 줄 수 있다.
2. 확장성 : 세션을 사용하면 서버를 확장하는 것이 어려워진다. 서버의 확장성이란 ? 더 많은 트래픽을 감당하기 위하여 여러개의 프로세스를 돌리거나, 여러대의 서버 컴퓨터를 추가하는것을 의미, 세션을 이용하면 분산된 시스템을 설계하는건 불가능한 것은 아니지만 과정이 매우 복잡
3. CORS(Cross-Origin Resource Sharing) : 세션을 관리 할 때 자주 사용되는 쿠키는 단일 도메인 및 서브 도메인에서만 작동하도록 설계.

🎉 작동 원리

토큰 기반시스템은 stateless이다. 무상태, 즉 상태유지를 하지 않는다는 것. 이는 더이상이 시스템에서 유저의 인증 정보를 서버나 세션에 담아두지 않는다는 것이다.
1. 유저가 아이디와 비밀번호로 로그인을 한다.
2. 서버측에서 해당 계정정보를 검증한다.
3. 계정정보가 정확하다면, 서버측에서 유저에게 signed 토큰을 발급
(signed의 의미는 해당 토큰이 서버에서 정상적으로 발급된 토큰임을 증명하는 signature를 지니고 있다)
4. 클라이언트 측에서 전달받은 토큰을 저장해두고, 서버에 요청을 할 때마다, 해당 토큰을 함께 서버에 전달
5. 서버는 토큰을 검증하고, 요청에 응답
(웹서버에서 토큰을 서버에 전달 할 때에는, HTTP 요청의 헤더에 토큰값을 포함시켜서 전달)

👉 JWT = JSON Web Token

JWT는 필요한 모든 정보를 자체적으로 지니고 있다. JWT 시스템에서 발급된 토큰은, 토큰에 대한 기본정보, 전달할 정보, 그리고 토큰이 검증됐다는 것을 증명해주는 signature를 포함하고 있다. JWT는 자가수용적으로 두 개체 사이에서 쉽게 전달 될 수 있다. 웹서버의 경우 HTTP의 헤더에 넣어서 전달 할 수도 있고, URL의 파라미터로 전달 할 수 있다.