토큰기반 인증(Token-based Authentication)

• 세션 기반 인증은 서버(혹은 DB)에 유저 정보를 담는 인증 방식이었습니다. 서버에서는 유저가 민감하거나 제한된 정보를 요청할 때마다 지금 요청을 보낸 유저에게 우리가 정보를 줘도 괜찮은가? 를 확인하기 위해 클라이언트가 보낸 세션 id를 가지고 있는 세션 객체와 비교합니다. 매 요청마다 데이터베이스를 살펴보는 것이 불편하고, 이 부담을 덜어내고 싶다면 토큰기반 인증 중 가장 대표적인 JWT (JSON Web Token)를 이용하면 됩니다.

클라이언트에 인증 정보 보관하기

• 토큰 기반 인증은 클라이언트에게 다양한 프리미어한 기능을 제공할 수 있습니다.(관련 예시로 Notion에서 엔터프라이즈, 팀 등의 플랜이 구분되어 있는 것을 통해 알 수 있다.)

• 클라이언트는 XSS, CSRF공격에 노출이 될 위험이 있으니 민감한 정보를 담고 있어서는 안됩니다. 하지만 토큰은 유저 정보를 암호화하기 때문에 클라이언트에 담을 수 있습니다.

JWT의 종류

• JWT는 보통 다음과 같이 두 가지 종류의 토큰을 이용해 인증을 구현합니다.

  1. 액세스 토큰(Access Token)
  2. 리프레시 토큰 (Refresh Token)

• 액세스 토큰은 보호된 정보들(유저의 이메일, 연락처, 사진 등)에 접근할 수 있는 권한부여에 사용합니다. 클라이언트가 처음 인증을 받게 될 때(로그인 시) 액세스 토큰, 리프레시 토큰 두가지를 다 받지만, 실제로 권한을 얻는 데 사용하는 토큰은 액세스 토큰입니다.

• 권한을 부여 받는데엔 액세스 토큰만 가지고 있으면 됩니다. 그러나 악의적인 유저가 있는 것을 대비해서 액세스 토큰에는 비교적 짧은 유효기간 을 주어 토큰을 탈취하더라도 오랫동안 사용할 수 없도록 하는것이 좋습니다.

• 액세스 토큰의 유효기간이 만료된다면 리프레시 토큰을 사용하여 새로운 액세스 토큰을 발급받습니다. 이때, 유저는 다시 로그인할 필요가 없습니다.

• 유효기간이 긴 리프레시 토큰마저 악의적인 유저가 얻어낸다면 이는 큰 문제가 될 것입니다. 상당히 오랜 기간동안 액세스 토큰이 만료되면 이를 다시 발급 받아 유저에게 피해를 입힐 수 있기 때문입니다. 따라서 유저의 편의보다 정보를 지키는 것이 더 중요한 웹사이트들은 리프레시 토큰을 사용하지 않는 곳이 많습니다.

JWT 구조

• JWT는 위 그림과 같이 .으로 나누어진 세 부분이 존재하며 각각을 Header, Payload, Signature라고 부릅니다.

1. Header

• Header는 이것이 어떤 종류의 토큰인지(지금의 경우엔 JWT), 어떤 알고리즘으로 시그니처를 sing(암호화) 할지가 적혀있습니다. JSON Web Token 이라는 이름에 걸맞게 JSON 형태로 정보가 담겨있습니다.

{
	"alg": "HS256"
    "typ": "JWT"
}

• 이 JSON 객체를 base64 방식으로 인코딩하면 JWT의 첫 번째 부분인 Header가 완성됩니다.

2.Payload

• Payload에는 단어 그대로 서버에서 활용할 수 있는 유저의 정보가 담겨 있습니다. 여기에는 어떤 정보에 접근 가능하지에 대한 권한 또는 유저의 이름과 같은 개인정보 등 담을 수 있습니다. 아니면 두 가지 모두 담을 수 있습니다.

• 페이로드는 뒤에서 설명할 시크니처를 통해 유효성이 검증될 정보이긴 하지만, 너무 민감한 정보는 담지 않는 것이 좋습니다. 디코딩이 쉬운 base64 방식으로 인코딩되기 때문이다.

{
	"sub": "someInformation",
    "name": "phillip",
    "iat": 151623391
}

• 첫번째 부분과 마찬가지로, 위 JSON 객체를 base64로 인코딩하면 JWT의 두 번째 부분인 Payload가 완성됩니다.

3. Signature

• base64로 인코딩된 첫번째, 그리고 두번째 부분이 완성 되었다면, Signature는 이를 서버의 비밀 키(암호화에 추가할 salt)와 헤더에서 지정한 알고리즘을 사용하여 암호화합니다.

• 즉, base64 인코딩 자체는 누구나 쉽게 디코딩할 수 있어 Header와 Payload 모두 쉽게 확인할 수 있지만 비밀키를 사용해 이를 암호화한 값(시그니처)은 비밀키를 보유한게 아니라면 해독해내는데 엄청난 노력이 필요합니다.

• 예를 들어, 만약 HMAC SHA256 알고리즘(암호화 방법중 하나)을 사용한다면 Signature는 아래와 같은 방식으로 생성됩니다.

HMACSHA256(base64UrlEncode(header) + '.' + base64UrlEncode(payload), secret);

• 따라서 누군가 권한을 속이기 위해 Payload를 변조하여 base64로 인코딩하더라도 원본 Payload로 암호화한 시그니처 값과 다르기 때문에 서버가 해당 토큰이 변조되었음을 확인할 수 있습니다.

JWT 사용 예시

• JWT는 권한 부여에 굉장히 유용합니다. 새로 다운받은 A라는 앱이 Gmail과 연동되어 이메일을 읽어와야 한다고 생각해 봅시다.

  • Gmail 인증서버에 로그인정보(아이디, 비밀번호)를 제공한다.
  • 성공적으로 인증시 JWT를 발급받는다.
  • A앱은 JWT를 사용해 해당 유저의 Gmail 이메일을 읽거나 사용할 수 있다.

토큰기반 인증 절차

• 클라이언트가 서버에 아이디/비밀번호를 담아 로그인 요청을 보낸다.

• 아이디/비밀번호가 일치하는지 확인하고, 클라이언트에게 보낼 암호화된 토큰을 생성한다.

  • access/refresh 토큰을 모두 생성한다.

    • 토큰에 담길 정보(payload)는 유저를 식별할 정보, 권한이 부여된 카테고리(사진, 연락처, 기타 등등)이 될 수 있다.
    • 두 종류의 토큰이 같은 정보를 담을 필요는 없다.

• 서버가 토큰을 클라이언트에게 보내주면, 클라이언트는 토큰을 저장한다.

  • 저장하는 위치는 Local Storage, Session Storage, Cookie 등 다양하다.

• 클라이언트가 HTTP 헤더(Authorization 헤더) 또는 쿠키에 토큰을 담아 보낸다. 쿠키에는 리프레시 토큰을 헤더 또는 바디에는 액세스 토큰을 담는 등 다양한 방법으로 구현할 수 있다.

  • Authorization 헤더는 사용한다면 Bearer Authentication을 이용한다.

• 서버는 토큰을 해독하여 아 우리가 발급해준 토큰이 맞네!라는 판단이 될 경우, 클라이언트의 요청을 처리한 후 응답을 보내준다.

토큰기반 인증의 장점

1. Statelessness & Scalability (무상태성 & 확장성)

• 서버는 클라이언트에 대한 정보를 저장할 필요가 없습니다. (토큰이 해독되는지만 판단합니다.)

• 클라이언트는 새로운 요청을 보낼때마다 토큰을 헤더에 포함시키면 됩니다.

  • 서버를 여러개 가지고 있는 서바스라면 더더욱 빛을 발휘합니다. 같은 토큰으로 여러 서버에서 인증이 가능하기 때문입니다. 세션 방식이라면 모든 서버가 해당 유저의 정보를 공유하고 있어야 한다.

2. 안전한다.

• 암호화한 토큰을 사용하고, 암호화 키를 노출할 필요가 없기 때문에 안전합니다.

3. 어디서나 생성 가능하다.

• 토큰을 확인하는 서버가 토큰을 만들지 않아도 됩니다.
• 토큰 생성용 서버를 만들거나, 다른 회사에서 토큰 관련 작업을 맡기는 것 등 다양한 활용이 가능합니다.

권한 부여에 용이하다.

• 토큰의 Payload(내용물) 안에 어떤 정보에 접근 가능한 지 정할 수 있습니다.
  • e.g. 서비스의 사진과 연락처 사용 권한만 부여