[인증/보안] - Token-based Authentication

• 용어정리
  • CORS

토큰기반인증 (Token-based Authentication)

토큰기반인증 쓰는 이유

• 세션기반인증 : 서버(혹은 DB)에 유저 정보를 담는 인증 방식. 서버에서는 유저가 민감하거나 제한된 정보를 요청할 때마다 가지고 있는 세션 값과 일치하는지 확인. 세션은 데이터베이스 서버에 저장된다.

• 토큰기반인증 이유 : 세션을 사용할 때, 매 요청마다 데이터베이스를 살펴보는 것이 불편하고 부담스럽기 때문에 토큰기반인증을 진행한다. 토큰은 클라이언트 측에서만 저장한다.

• 세션과 토큰의 차이점

• 토큰기반인증 vs 서버기반인증

• JWT (JSON Web Token) : 대표적인 토큰기반인증.

클라이언트에서 인증 정보 보관하기

• 토큰 : 토큰기반인증은 클라이언트에서 인증 정보를 보관하는 방법. 클라이언트가 토큰을 가지고 있다면 보통의 다른(돈을 내지 않은) 유저들과는 다르게 서버에서 제공하는 다양한, 더 프리미엄한 기능을 요청 가능.

• 토큰을 클라이언트에 저장해도 괜찮은가?
  : 클라이언트는 XSS, CSRF 공격에 노출이 될 위험이 있으니 민감한 정보를 담고 있어서는 안된다. 그렇다면 인증에 사용되는 토큰은 위험하지 않은가?
  -> 토큰은 유저 정보를 암호화한 상태로 담을 수 있고, 암호화했기 때문에 클라이언트에 담을 수 있습니다.

JWT의 종류

1. Access Token : 보호된 정보들(유저의 이메일, 연락처, 사진 등)에 접근할 수 있는 권한부여에 사용. 클라이언트가 처음 인증을 받게 될 때(로그인 시), access, refresh token 두 가지를 다 받지만, 실제로 권한을 얻는 데 사용하는 토큰은 access token.

2. Refresh Token : access token 유효기간이 만료된다면, refresh token을 사용하여 새로운 access token을 발급받는다.

Q. access token만 있으면 되는 것 아닌가요?
A. 권한을 부여받는 데엔 access token만 가지고 있으면 됩니다. 그러나 악의적인 유저가 access token을 탈취해서 여러 요청을 보내면 위험. 따라서 access token에는 비교적 짧은 유효 기간 을 주어 오랫동안 사용하지 못하게 한다. 유효기간이 만료된다면, refresh token을 사용하여 새로운 access token을 발급받는다. 이때, 유저는 다시 로그인할 필요가 없다.
Q. refresh token도 탈취 당한다면?
A. 유효기간이 긴 refresh token 마저 악의적인 유저가 얻어낸다면 큰 문제가 된다. 유저의 편의보다 정보를 지키는 것이 더 중요한 웹사이트들은 refresh token을 사용하지 않는 곳이 많다. 세상에 완벽한 보안은 없기 때문에 각 방법들의 장단점을 참고하며 필요에 맞게 사용하는 것이 좋다.

JWT 구조

: 3부분 (Header, Payload, Signature), JSON 형태로 적힘. Header, Payload 부분의 JSON 객체를 base64 방식으로 인코딩.

• 1. Header : 어떤 토큰인지.
  • 어떤 종류의 토큰인지(지금의 경우엔 JWT)
  • 어떤 알고리즘으로 sign(암호화) 할지.

{
  "alg": "HS256",
  "typ": "JWT"
}

• 2. Payload : 정보가 담김. 필요한 데이터는 이곳에 담아 Sign 시킨다. Payload에는 민감한 정보는 되도록 담지 않는 것이 좋다.
  • 유저의 정보
  • 어떤 정보에 접근 가능한지에 대한 권한을 부여 받았는지.
  • 기타 필요한 정보

{
  "sub": "someInformation",
  "name": "phillip",
  "iat": 151623391
}

• 3. Signature : 비밀키(암호화에 추가할 salt)를 사용하여 암호화한다. base64 인코딩을 한 값은 누구나 쉽게 디코딩 가능. (서버에서 사용하고 있는 비밀키를 보유한 게 아니라면 해독해 내는데 엄청난 시간과 노력이 들어간다.)
  • Header, Payload를 base64인코딩한 값과 salt값의 조합으로 암호화된 값.
  • 예 ) HMAC SHA256 알고리즘(암호화 방법 중 하나)을 사용 -> signature는 아래와 같은 방식으로 생성된다.

HMACSHA256(base64UrlEncode(header) + '.' + base64UrlEncode(payload), secret);

JWT 사용 예시

• JWT : 권한 부여에 매우 유용.
  • 예 ) 새로 다운받은 A라는 앱이 Gmail과 연동되어 이메일을 읽어와야 한다.
    • 유저는...
    1. Gmail 인증서버에 로그인 정보(아이디, 비밀번호)를 제공한다
    2. 성공적으로 인증 시 JWT를 발급받는다
    3. A 앱은 JWT를 사용해 해당 유저의 Gmail 이메일을 읽거나 사용할 수 있다

토큰기반 인증 절차 - 로그인

1. 클라이언트 -> 서버 : 아이디/비밀번호를 담아 로그인 요청을 보낸다.
2. 서버 : 아이디/비밀번호가 일치하는지 확인하고, Signature(암호화) 된 토큰을 생성.
   • access/refresh 토큰을 모두 생성
     • 토큰에 담길 정보(payload) : 유저를 식별할 정보, 권한이 부여된 카테고리(사진, 연락처, 기타 등등)이 될 수 있다. (두 종류의 토큰이 같은 정보를 담을 필요 없다. (이 스프린트에서는 같은 정보를 담아준다))
3. 서버 -> 클라이언트 : 토큰 보낸다.
   클라이언트 : 토큰 저장.
   • 클라이언트가 토큰을 저장하는 위치: local storage, cookie, react의 state 등 다양.
4. 클라이언트 -> 서버 : HTTP 헤더(authorization 헤더)에 토큰을 담아 보낸다.
   • bearer authentication을 이용
     : 참고링크..
     • 링크1(요약)
     • 링크2(상세)
5. 서버 : 토큰 해독. 발급해준 토큰이 맞다는 판단이 될 경우, 클라이언트의 요청을 처리한 후 응답.

1. Statelessness & Scalability (무상태성 & 확장성)

• 서버는 클라이언트에 대한 정보를 저장할 필요 X (토큰 해독이 되는지만 판단)
• 클라이언트는 새로운 요청을 보낼 때마다 토큰을 헤더에 추가함으로 인증절차 완료
• 서버를 여러 개 가지고 있는 서비스일 때, 같은 토큰으로 여러 서버에서 인증 가능하다는 큰 장점이 있다.

2. 안전성
: 암호화된 토큰을 사용하고, 암호화 키를 노출할 필요 X 때문에 안전.

3. 어디서나 생성 가능
: 토큰을 확인하는 서버가 토큰을 만들어야 하는 법이 없고, 토큰 생성용 서버를 만들거나, 다른 회사에서 토큰 관련 작업을 맡기는 것 등 다양한 활용이 가능.

4. 권한 부여에 용이
: 토큰의 payload(내용물) 안에 어떤 정보에 접근 가능한지 정의한다.
ex) 서비스의 사진과 연락처 사용 권한만 부여 / 사진 권한만 부여 / 연락처 권한만 부여