*🔐Study Keyword :

• 회원가입시 1> 🔑데이터베이스에 암호화된(hashed) 비밀번호를 저장하는 방법
• 로그인 성공시 2> 🔑JWT를 발행해 http response를 통해 프론트 서버로 전달하는 방식
• 3> 🔑Http request에서 JWT를 통해 사용자를 판별하는 과정까지 직접 해보좌아~

1. 인증(Authentication)

• WHAT IS❓

• Authentication은 유저의 identification, 즉 신원을 확인하는 절차이다.
• 이를 풀어서 말하면 유저의 아이디와 비번을 확인하는 절차를 말한다.

• Authentication 절차

1. 유저가 회원가입을 통해 아이디와 비번을 만든다.
2. 유저의 비밀 번호를 암호화해서 DB에 저장한다.
3. 유저가 로그인 시 회원가입했던 아이디와 비밀번호를 입력한다.
4. 유저가 입력한 비밀번호를 1>암호화🔑 후 암호화되서 DB에 저정된 유저 비밀번호와 비교한다.
   => 인증
5. 비밀번호가 일치하면 로그인 성공을 알려주고 2>access token🔑을 클라이언트에게 전송한다.
6. 로그인에 성공한 유저는 다음부터 access token🔑을 첨부해 request를 서버에 전송함으로서 매번 로그인하지 않아도 된다.
   => 인가

1_1. 암호화의 과정

• 데이터베이스에 유저의 비밀번호 저장 시 개인정보를 해싱하여 복원할 수 없도록해야하는데 이때 단방향 해쉬 함수가 쓰인다.

- 단방향 해쉬?

• 해쉬란 input을 넣으면 함수를 돌려서 알 수 없는 형태의 output을 만들어주는 것을 의미하는데 단방향 해쉬는 output으로 input을 유추할 수 없다는 것으로 즉, 복호화를 진행할 수 없는 것과 같다.
• 복원이 불가능한 단방향 해쉬함수를 이용해 암호화의 용도로 사용된다.
• MD5, SHA-A와 SHA-256 암호화 알고리즘 등이 존재한다.
  -EX> 비밀번호 '1234'를 SHA-256으로 해싱한 결과만을 가지고는 식별이 불가능하다.
  -하지만 같은 알고리즘으로 '1234'를 다시 해싱하면 항상 같은 결과가 도출되어 salting과 key stretching 키워드를 통해 해당 허점을 보완할 수 있다.

- Salting & KeyStretching?

• Salting은 실제 비밀번호 이외에 추가적으로 랜덤 데이터(임의 문자열)를 더해서 해시값을 계산하는 방법을 말하고
• Key Stretching은 단방향 해쉬값을 계산 한 후 그 해쉬값을 또 해쉬 하는 과정을 반복하는 것을 말한다.

• 즉, Salting KeyStretching은 한 번 꼬아서 암호화를 하는 목적을 위해 탄생하게 되었다.
• 입력한 비밀번호에 임의로 생성한 문자열 (=Salt)을 합쳐서 해싱하여 해시값을 저장한 뒤 salt + hash를 무한정으로 늘리는(key Stretching) 과정을 거치면 된다.

- bcrypt

• Salting과 Key Stretching을 구현한 해쉬 함수중 가장 널리 사용되는 대표 라이브러리가 bcrypt
• bcrypt는 비밀번호를 단방향 암호화하기 위해 만들이전 해쉬함수를 의미한다.
• 과정은 1. 비밀번호 암호화 후 2. Salting과 해시값, Key stretching의 반복횟수를 같이 보관한다.
  

2. Authorization

• Authorization은 유저가 요청하는 request를 실행할 수 있는 권한이 있는 유저인가를 확인하는 절차를 의미한다.
• 이러한 Authroization 절차는 JWT를 통해서 구현가능하고 access token을 통해 해당 유저 정보를 얻어 해당 유저가 가지고 있는 권한을 확인한다.

• Authorization 절차

1. Authorization 과정에서 access token을 생성하는데 access token에 유저 정보를 확인할 수 있는 정보가 들어가 있다.
   (가령 user id 정도)
2. 유저가 요청을 보낼때 access token을 요청에 함께 첨부해서 서버로 보낸다.
3. 서버에서는 유저가 보낸 access token을 복호화(양방향 해쉬화 가능)하여 복호화된 데이터로 user id를 얻는다.
4. user id를 통해 데이터베이스에 해당 유저의 권한을 확인한다.
5. 유저가 권한을 가지고 있다면 해당 요청을 처리해주고 유저가 권한을 가지고 있지 않으면 Unauthorized Response(401) 혹은 다른 에러 코드를 보내주는 응답을 해준다.

2_1. access token

• 유저가 1> 로그인을 하면 2> access token, 암호화된 유저 정보를 첨부해서 request를 보내면 3> 서버에서는 access token을 복호화 해서 해당 유저 정보를 얻는데 이러한 과정을 양방향 암호화라고 한다.
  -EX> 가령 유저가 로그인 시 access token을 함께 첨부해서 서버에 요청을 한다

POST /auth HTTP/1.1
Host: localhost:5000
Content-Type: application/json
// 유저 이름과 비밀번호
{
    "username": "joe",
    "password": "pass"
}
// access token
HTTP/1.1 200 OK
Content-Type: application/json
{
    "access_token": "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJpZGVudGl0eSI6MSwiaWF0IjoxNDQ0OTE3NjQwLCJuYmYiOjE0NDQ5MTc2NDAsImV4cCI6MTQ0NDkxNzk0MH0.KPmI6WSjRjlpzecPvs3q_T3cJQvAgJvaQAPtk1abC_E"
}

• 요청에 담긴 access token을 복호화하면 해당 유저에 대한 정보를 얻어서 해당 유저가 매번 로그인 하지 않아도 되도록 인가를 해준다.

{
    user_id = 1 
}

2_2. JWT(JSON Web Tokens)

• JWT란 access token을 생성하는 방법 중 하나로 보편적으로 사용되는 기술중 하나를 의미한다.
• 유저 정보를 담고 있는 JSON 데이터를 암호화 해서 클라이언트와 서버간에 주고 받는 것을 의미한다.

*💡conclusion

• 인증, 인가에 있어 해쉬화 JWT를 통한 사용자 식별까지 큰 흐름을 이해하자.

#📑Study Source

• 까마득한 세션 강의 중:[