🎟 Token

기존 세션 기반 인증 시스템의 문제점을 보완하기 위해 고안된, 인증을 위한 암호화된 긴 문자열

Token의 특징

• 토큰은 클라이언트에 인증 정보를 저장한다.
• 토큰은 유저 정보를 암호화한 상태로 담을 수 있고, 암호화했기 때문에 클라이언트에 담을 수 있음.

장점

• 별도의 인증 저장소가 필요없음
• 쿠키를 전달하지 않아도 됨
  • 쿠키를 통한 공격에서 자유로움
• 확장성이 좋음
  • 클라우드 환경 수평적 확장이 자유로움
  • 세션과 다르게 인증을 받은 서버를 항상 거치지 않음
  • 트래픽과 서버 부하가 낮음

단점

• 클라이언트에 토큰을 저장
  • 데이터베이스에서 조작한 내용이 토큰을 수정할 수 없음
    • 서버에서 강제로 로그아웃 시킬 수 없음
    • 서버에서 토큰을 삭제시킬 수도 없음 🤭
  • Timeout 기반으로 갱신
• 토큰은 암호화 되어있지만 내용물인 Payload는 암호화 되어있지 않음
  • 따라서 토큰에 비밀번호 같은 민감한 정보를 담으면 언젠가는 유출될 수 있음
• 필드가 추가될수록 토큰 크기가 늘어남
  • 비상태성 어플리케이션에선 매번 통신마다 토큰이 추가되므로 데이터 트래픽 크기가 늘어남

Access Token

• access token이 탈취되면 악의적인 사용자가 그대로 로그인 할 수 있음
  • 따라서 유효 기간(expire-time)을 짧게 부여 (30분)
  • 만료될 경우 refresh token으로 토큰을 다시 받을 수 있음 (2주)
  • Refresh Token이 탈취된다면?

Refresh Token

• Refresh Token은 보안 정보를 가지고 있지 않는다.
• Refresh Token 탈취를 우려하여 아예 안쓰는 곳도 있음 (ex StackOverFlow)
• Refresh Token을 Session처럼 DB에 저장하기도 함
  • 서버에서 관리하면 서버에서 재생성이 가능

JWT토큰의 탈취는 보통 클라이언트측에서 이루어지는것이 아니라고한다.
클라이언트의 PC가 해킹되었다면 서버에서 더이상 할 수 있는 일은 없으며, 보통은 공유기 등의 네트워크쪽에서 탈취되기 때문에 리프레시토큰이 의의있다고 하셨다.
출처: https://tuigun.tistory.com/85 [퇴근 후 개발공부]

🥧 JWT

두 개체에서 JSON 객체를 사용하여 가볍고 자가수용적인 (self-contained) 방식으로 정보를 안전성 있게 전달하는 방식

JWT 작업 흐름

💻 JWT 구현

Login

Refresh Token

myInfo

Logout

참조 URL

https://blog.logicwind.com/jwt-refresh-token-implementation-in-node-js/