JWT Json Web Token
-JWT 사용하는 이유
-JWT를 이용한 인증 방식
-JWT 사용 시 장단점
목표
-인증된 사용자인지를 증명하는 토큰 방식과 세션 방식의 차이점을 설명할 수 있음
-JWT가 무엇인지 설명할 수 있다
-JWT의 구성요소를 설명할 수 있다
-JWT의 동작 방식을 이해할 수 있다
토큰 기반 자격 증명
HTTP 프로토콜은 request를 전송한 후 response를 수신하게 되면 연결을 끊는 비연결성Connectionless의 특성을 가지고 있고, request와 response에 대한 상태를 저장하지 않는 비상태성Stateless의 특성을 가짐
=>때문에 로그인 인증이 성공적으로 수행되었다하더라도 서버측에서는 매번 request를 수신할때마다 이 request가 인증된 사용자가 보낸 request인지 알 수 있는 방법이 없음
=>HTTP 특성으로 인해 사용자의 인증이 성공적으로 이루어졌을때 인증된 사용자 request의 상태를 유지하기 위한 수단이 필요하게 되었으며 대표적인 수단이 바로 세션
(session 세션
:사용자가 인증에 성공한 상태/ 서버와 클라이언트간의 연결이 활성화된 상태
:클라이언트 별로 서버에 저장되는 정보
:사용자 컴퓨터에 저장되던 쿠키와 다르게 서버에 저장되므로 비교적 보안이 필요한 데이터는 쿠키보다 세션에 저장
:서버가 종료되거나 유효시간이 지나면 사라짐)
세션 기반 자격 증명 방식
:서버 측에 인증된 사용자의 정보를 세션 형태로 세션 저장소에 저장하는 방식
:즉, 클라이언트 측에서 서버 측의 리소스를 요청하면
:서버 측에서는 "서버 측 리소스를 요청하는 클라이언트에게 우리가 정보를 줘도 괜찮은가?"를 확인하기 위해
:서버 측 세션 저장소에 저장된 세션 정보와 사용자가 제공하는 정보가 일치하는지 확인하는 방식
세션 기반 자격 증명의 특징
1) 세션은 인증된 사용자 정보를 서버 측 세션 저장소에서 관리함
2) 생성된 사용자 세션의 고유 ID인 세션 ID는 클라이언트의 쿠키에 저장되어 request 전송 시, 인증된 사용자인지를 증명하는 수단으로 사용됨
3) 세션 ID만 클라이언트 쪽에서 사용하므로 상대적으로 적은 네트워크 트래픽을 사용함
4) 서버 측에서 세션 정보를 관리하므로 보안성 측면에서 조금 더 유리함
5) 서버의 확장성 면에서는 세션 불일치 문제가 발생할 가능성이 높음
6) 세션 데이터가 많아질수록 서버의 부담이 가중될 수 있음
7) SSR Server Side Rendering 방식의 애플리케이션에 적합한 방식임
세션 기반의 자격 증명 방식은 인증된 사용자의 상태를 유지하기 위한 전통적인 방식임
세션 방식 이외에 현대적인 웹 애플리케이션에서 점차 많이 사용되는 방식이 있는데, 바로 토큰 기반의 자격 증명 방식임
토큰 기반 자격 증명 방식
? 토큰이란?
:기본적으로 동전을 연관시킬 수 있는데 예를 들면
-대중교통을 이용할 때 사용하는 토큰
-오락실 게임에 사용하는 토큰
-행사에 입장하기 위해서 주최즉에서 나눠준 토근
-놀이공원에 입장료를 내면 주는 토큰
:공통점은 "나는 돈을 지불했고, 이 시설/서비스를 사용할 수 있어" 라는 의미를 담음
:애플리케이션 보안 측면에서의 토큰은 일종의 출입 카드에 비교될 수 있음
ex. 특정 빌딩 방문 시 로비에서 임시 출입 카드 발급하는 상황
:방문자 목록에 신원 정보(이름,전화번호,방문회사,방문목적 등)을 입력하고 임시 출입 카드를 건네받음
:여기서 신원정보는 자신을 증명하는 자격 정보Credential에 비유될 수 있고
:임시 출입 카드는 인증된 사람을 증명하는 토크에 비유될 수 있음
:그러나 임시 출입 카드는 모든 장소를 방문할 수 있지 않고, 방문하는 층의 특정 사무소만 출입 가능함
:이처럼 애플리케이션에 사용되는 토큰 역시 인증된 사용자의 자격을 증명 & 접근 권한을 부여하여 특정 리소스에만 접근 가능하게 하는 역할을 함
토큰 기반 자격 증명의 특징
1) 토큰에 포함된 인증된 사용자 정보는 서버 측에서 별도의 관리를 하지 않음
2) 생성된 토큰을 헤더에 포함시켜 request 전송 시, 인증된 사용자인지 증명하는 수단으로 사용
3) 토큰 내에 인증된 사용자 정보를 포함하고 있으므로 세션에 비해 상대적으로 많은 네트워크 트래픽을 사용
4) 기본적으로 서버 측에서 토큰을 관리하지 않으므로 보안성 측면에서 조금 더 불리함
5) 인증된 사용자 request의 상태를 유지할 필요가 없기 때문에 서버의 확장성 면에서 유리하고, 세션 불일치 같은 문제가 발생하지 않음
6) 토큰에 포함된 사용자 정보는 토큰의 특성상 암호화가 되지 않기 때문에 공격자에게 토큰이 탈취될 경우, 사용자 정보를 그대로 제공하게 됨. 따라서 민감한 정보는 토큰에 포함시키지 말아야 함
7) 기본적으로 토큰이 만료되기 전까지는 토큰을 무효화시킬 수 없음
8) CSR Client Side Rendering 방식의 애플리케이션에 적합한 방식임
