인증인가 #2

#인증인가 다시보기
인증? 로그인할 때 정확하게 아이디/비밀번호 입력했는지 확인하는 과정
인증은 왜 필요한가? 서비스를 누가 어떻게 사용하는지 추적할 수 있다.
가장 중요한 것은 당연히 비밀번호

개인정보 보호를 위한 암호화는? 단방향 해쉬로

hash?

원래 자료를 빠르게 탐색하기 위한 자료구조,
빠르게 i/o 가능해서 암호화에 사용하게 되었다.

input => hash 함수 => output(알 수 없는 값)
같은 input => 같은 output
서로 다른 input => 서로 다른 output

MD5, SHA-1 (보안 취약) SHA-256

가능한 경우의 수를 모두 해시값으로 만들어서 판매하는 서비스, Rainbow Table 존재한다.
->보완? salting, Key Stretching

salting

• salt? 단방향 해시 함수에서 다이제스트를 생성할 때 추가되는 바이트 단위의 임의의 문자열을 의미한다.
• 원본 메시지에 문자열을 추가하여 다이제스트를 생성하는 것이 salting
  
  salt값은 회원가입할 때마다 랜덤하게 생성-> 로그인할 때 DB에 저장해두어야한다.

Key stretching

random salt+ hash하는 과정을 여러번 반복한다.
해시값을 계산하는 데 필요한 시간을 계속해서 늘려 원본값 유추를 어렵게한다.

bcrypt

salting, Key Stretching 대표적 라이브러리
bcrypt를 통해 해싱된 결과값 = digest

단방향 해쉬?
해쉬함수는 자료구조에서 빠른 자료의 검색, 데이터의 위변조 체크를 위해 쓰이지만 복원이 불가능한 단방향 해쉬함수는 암호학적 용도로 사용한다.
"output으로는 input을 유추할 수 없다 = 복호화 불가능"
(cf. 양방향해쉬? 카드정보 저장, access token)

인가

로그인 성공하면 token을 준다!
JWT(JSON Web Token)
헤더 + 내용 + 서명 => 여기서 서명은 복호화로 유저 파악이 가능해야 한다.

bcrypt 사용해보기

import { genSalt } from 'bcrypt';

const pw = "hellojihyun";
const generateSalt = async() => {
    console.log(await genSalt(10))
}
generateSalt();

결과 ?

token은 로그인할 때 만들어진다.
token을 푸는 함수는? 권한이 있는지 확인할 때 실행된다.
ex.마이페이지 접속할 때

참고한 자료 https://d2.naver.com/helloworld/318732
더 공부할 자료 https://emmanuelhayford.com/understanding-the-bcrypt-hashing-function-and-its-role-in-rails/