TIL 55일차

시작하며

오늘은 Session에 이어서 새로운 인증방식인 Token에 대해서 학습하고 Session을 이용하여 구현하였던 웹페이지와 유사한 웹페이지를 Json Web Token 인증 방식을 이용하여 구현하는 스프린트를 구현하였다.

Token

Session 인증 방식은 서버에서는 유저가 민감하거나 제한된 정보를 요청할 때마다 요청을 보낸 유저를 확인하기 위해 가지고 있는 세션 값과 일치하는지 확인하는데, 매 요청마다 데이터베이스를 살펴보는 것이 불편하고 서버에 부담을 줄 수 있기 때문에 토큰기반 인증이 사용되게 되었는데, 대표적인 토큰 인증 방식 중 하나로 JWT (JSON Web Token)이 있다.

JWT의 종류

클라이언트가 처음 인증을 받게 될 때(로그인 시), access, refresh token 두가지를 다 받게 된다.

1. Access Token : 보호된 정보들(유저의 이메일, 연락처, 사진 등)에 접근할 수 있는 권한부여에 사용되는 토큰
2. Refresh Token : Access token의 유효기간이 만료되었을때 access token을 발급할때 사용되는 토큰

유효기간이 긴 refresh token을 악의적인 유저가 얻어낸다면 큰 문제가 발생할 수 있기 때문에, 유저의 편의보다 정보를 지키는 것이 더 중요한 웹사이트들은 refresh token을 사용하지 않는 곳이 많다.



JWT의 구조

JWT는 위 그림과 같이 . 으로 나누어진 3부분이 존재한다.

Header

Header에는 어떤 종류의 토큰인지(지금의 경우엔 JWT), 어떤 알고리즘으로 sign(암호화) 할지 적혀있다.

{
  "alg": "HS256",
  "typ": "JWT"
}

이 JSON 객체를 base64 방식으로 인코딩하면 JWT의 첫 번째 부분이 완성된다.


Payload

Payload에는 어떤 정보에 접근 가능한지에 대한 권한을 담을 수도 있고, 사용자의 유저 이름 등 필요한 데이터는 이곳에 담아 암호화 시킨다. 암호화(헤더에서 정의한)가 될 정보지만, 민감한 정보는 되도록 담지 않는 것이 좋다.

{
  "sub": "someInformation",
  "name": "phillip",
  "iat": 151623391
}

첫번째 부분과 마찬가지로, 위 JSON 객체를 base64로 인코딩하면 JWT의 두 번째 블록이 완성된다.


Signature

base64로 인코딩된 첫번째, 그리고 두번째 부분이 완성 되었다면, 원하는 비밀 키(암호화에 추가할 salt)를 사용하여 암호화한다. base64 인코딩을 한 값은 누구나 쉽게 디코딩할 수 있지만, 서버에서 사용하고 있는 비밀키를 보유한게 아니라면 해독해내는건 현실적으로 불가능하다.

예를 들어, 만약 HMAC SHA256 알고리즘(암호화 방법중 하나)을 사용한다면 signature는 아래와 같은 방식으로 생성된다.

HMACSHA256(base64UrlEncode(header) + '.' + base64UrlEncode(payload), secret);


토큰기반 인증 절차

  1. 클라이언트가 서버에 아이디/비밀번호를 담아 로그인 요청을 보낸다.

  2. 아이디/비밀번호가 일치하는지 확인하고, 클라이언트에게 보낼 암호화된 토큰을 생성한다.

  • access/refresh 토큰을 모두 생성한다.
    • 토큰에 담길 정보(payload)는 유저를 식별할 정보, 권한이 부여된 카테고리(사진, 연락처, 기타등등)이 될 수 있다.
    • 두 종류의 토큰이 같은 정보를 담을 필요는 없다 (이 스프린트에서는 같은 정보를 담아줍시다).
  1. 토큰을 클라이언트에게 보내주면, 클라이언트는 토큰을 저장한다.
  • 저장하는 위치는 local storage, cookie, react의 state 등 다양하다.
  1. 클라이언트가 HTTP 헤더(authorization 헤더)에 토큰을 담아 보낸다.
  • bearer authentication을 이용한다.
  1. 서버는 토큰을 해독하여 올바른 토큰이라고 판단될 경우, 클라이언트의 요청을 처리한 후 응답을 보내준다.


토큰기반 인증의 장점

  • Statelessness & Scalability (무상태성 & 확장성)
    • 서버는 클라이언트에 대한 정보를 저장할 필요 없다.
      • 클라이언트는 새로운 요청을 보낼때마다 토큰을 헤더에 포함시키면 된다.
  • 안전성
    • 암호화 한 토큰을 사용하고, 암호화 키를 노출 할 필요가 없기 때문에 안전하다.
  • 어디서나 생성 가능하다.
    • 토큰을 확인하는 서버가 토큰을 만들어야 하는 법이 없다.
    • 토큰 생성용 서버를 만들거나, 다른 회사에서 토큰관련 작업을 맡기는 것 등 다양한 활용이 가능하다.
  • 권한 부여에 용이하다.
    • 토큰의 payload(내용물) 안에 어떤 정보에 접근 가능한지 정할 수 있다.

마치며

어제 Session을 구현하는 웹페이지와 유사한 스프린트르 진행해서 구조를 파악하는 과정은 어렵지 않았으나, jwt에 대한 설명이 전혀 없이 공식문서와 구글링을 통해 구현해야 해서 시간이 더 걸린 것 같다. access 토큰과 refresh 토큰을 발급하고 access 토큰을 재발급할 수 있는 기능을 구현하면서 jwt에 대한 이해를 깊게 할 수 있었다.

좋은 웹페이지 즐겨찾기