인증(Authentication) / 인가 (Authorization)
인증 : 사용자의 신원을 확인합니다.
인가 : 신원이 확인된 사용자에게 리소스에 액세스할 수 있는 권한을 부여합니다.
오늘은 인증(Authentication) / 인가 (Authorization)의 개념에 대해 배워 보았습니다.
둘 다 포안 프로세스의 한 부분이지만 엄연히 다른 과정이며 그 내용을 포스팅 해보겠습니다.
1️⃣ 인증에 대한 정의
인증은 사용자의 신원을 검증하는 행위로서 보안 프로세스에서 첫 번째 단계입니다.
-
아이디 & 비밀번호
사용자의 아이디와 비밀번호는 가장 많이 사용되는 인증 요소입니다. 사용자가 데이터를 올바르게 입력하면 엑세스를 허용합니다. -
일회용 PIN
단일 세션이나 트랜잭션에 한하여 액세스를 허용합니다. -
인증 APP
액세스를 허용하는 외부 기관을 통해 보안 코드를 생성합니다. -
생체인식
사용자가 시스템에 액세스하기 위해 지문이나 망막 스캔을 제출합니다.
2️⃣ 인가에 대한 정의
사용자에게 특정 리소스나 기능에 액세스할 수 있는 권한을 부여하는 프로세스를 말합니다.
-
서버에서 특정 파일을 다운로드할 수 있는 권한을 부여합니다.
-
개별 사용자에게 관리자 권한으로 애플리케이션에 액세스할 수 있는 권한을 부여합니다.
-
리소스에 접근할 수 있는지, 동작을 수행할 수 있는지 검증합니다.
-
인터넷 기반 앱에서는 보통 토큰 이라 부르는 것을 사용합니다.
=> 유저는 자신의 인가 세부사항을 가진 토큰을 통해 서버에 인증.
=> 서버는 유저의 토큰을 보고 권한이 있는지 판단
3️⃣ 인증과 인가
인증과 인가는 로그인 프로세스에서 서로 다른 단계입니다.
📌인증과 인가의 비교
-
인증
선택한 인증 요건과 관련하여 적합한 자격 증명을 입력하는 사용자에게 시스템에 대한 액세스를 허용합니다. -
인가
사용자가 액세스할 수 있는 권한을 부여하고, 필요할 경우 개인 정보 등의 기밀 데이터에 대한 액세스 권한도 갖습니다.
출처: okta
