1. 인증(Authentication)
인증
누군가 또는 시스템이 실제로 그 누구인지 또는 시스템인지를 결정하는 과정
인증 기술
사용자의 자격 증명 정보가 데이터 인증 서버의 자격 증명 정보와 일치하는지 확인하여 인증 절차를 통과한 시스템에 대해 액세스 제어를 제공
예) 은행에서 돈을 인출하려면?
- 은행 데이터베이스의 정보와 사용자의 통장, 도장(또는 사인), 신분증이 일치해야함!
인증 유형
| SFA | 2FA | MFA | |
|---|---|---|---|
| 정의 | 단일요소 인증 | 2단계 인증 | 다중 요소 인증 |
| 사용자ID 인증 요소 | 암호 | 암호 + 모바일코드,지문 등 | 암호 + 모바일코드,지문 + 질문&답변 |
| 1개 | 2개 | 3개 이상 | |
| 특징 | 보안 취약 | SFA보다 보안 강화 | 2FA보다 보안 강화 |
웹사이트 인증 절차
| 순서 | 절차명 | 주체 | 내용 |
|---|---|---|---|
| 1. | 회원가입 | 사용자 | ID, 비밀번호를 입력 |
| API | 입력받은 비밀번호를 암호화 후 DB에 저장 | ||
| 2. | 로그인 | 사용자 | 사용자의 ID, 비밀번호 입력 |
| API | 입력받은 비밀번호를 암호화하고 DB에 저장된 암호화된 비밀번호와 비교 | ||
| 일치하면 로그인 성공! | |||
| API | 사용자의 인증 정보가 담긴 access token을 사용자에게 전송 | ||
| 3. | 요청 | 사용자 | 요청마다 access token 첨부(매번 로그인 안함!) |
2. 인가(Authorization)
인가
사용자에게 특정 리소스 또는 기능에 대한 액세스 권한을 부여하는 프로세스
(=액세스 제어, 클라이언트 권한)
예)
- 서버의 특정 파일의 다운로드 권한을 부여
- 애플리케이션 관리 액세스 권한을 제공
인증 절차
1. 사용자: 리소스 액세스 권한 요청
2. 조직 관리자: 사용자의 자격 증명을 확인
3. 조직 관리자: 사용자에게 권한을 부여
검색하고 기록하며 학습하는 백엔드 개발자