코드스테이츠

코드스테이츠 65-66일차

안형준 2022. 7. 27. 22:34

서버 기반의 인증 방식은 매번 인증 요청이 올 때마다 서버에 점점 많은 부담을 주게 된다.

이러한 인증의 부담을 어떻게 줄일 수 있을지 고민한 끝에 토큰 인증 방식이 탄생하게 되었다.

 

학습 목표

  • JWT(JSON Web Token)를 사용하는 이유를 설명할 수 있다.
  • JWT를 이용한 인증 방식을 이해할 수 있다.
  • JWT를 사용하여 얻을 수 있는 장점과 단점을 설명할 수 있다.
  • Spring Security에서 JWT 인증을 구현할 때 필요한 요소를 이해할 수 있다.
  • Spring Security에서 JWT 인증을 구현할 수 있다.

 

세션 기반 인증은 서버(혹은 DB)에 유저 정보를 담는 인증 방식이었다.

서버에서는 유저가 민감하거나 제한된 정보를 요청할 때마다 즉, 인증이 필요하거나 권한 확인이 필요한 순간마다 "지금 요청을 보낸 유저에게 우리가 정보를 줘도 괜찮은가?"를 확인하기 위해 가지고 있는 세션 값과 일치하는지 확인한다.

매 요청 마다 데이터베이스를 살펴봐야하는 부담을 덜어내기 위해 토큰 기반 인증이 등장하게 되었다.

그 중 가장 대표적인 JWT(JSON Web Token)에 대해서 알아보자

 

클라이언트에 인증 정보 보관하기

토큰이 무엇일까 생각해보자면 보통 우리는 위와 같은 동전, 코인을 떠올릴 것이다.

토큰들은 공통적으로 나는 돈을 지불했고, 이 시설(혹은 서비스)을 사용할 수 있어! 라는 메시지를 담고 있다.

이러한 개념에서 착안하여 클라이언트에서 인증 정보를 보관하는 방법으로 토큰기반 인증이 고안되었다.

클라이언트가 만약 금색 토큰을 가지고 있다면 일반 유저와 달리 서버에서 제공하는 다양한, 더 프리미어한 기능을 사용할 수도 있을 것이다.

그런데 이러한 토큰을 클라이언트에 저장해도 정말 괜찮은 걸까?

우리는 클라이언트는 XSS, CSRF 공격에 노출이 될 위험이 있으니 민감한 정보를 담고 있어서는 안된다는 것을 기억할 수 있다.

그렇다면 인증에 사용되는 중요한 정보를 클라이언트에 어떻게 담을 수 있을까?

토큰은 유저 정보를 암호화한 상태로 담을 수 있고, 암호화했기 때문에 클라이언트에 담을 수 있는 것이다.

 

JWT(JSON Web Token) 란?

JWT(JSON Web Token)는 데이터를 안전하고 간결하게 전송하기 위해 고안된 인터넷 표준 인증 방식이다. 

토큰 인증 방식에서 가장 범용적으로 사용되며 JSON 포맷을 암호화하거나 서명하여 그 값을 Web Token으로써 인증 과정에 사용한다.

 

JWT의 종류

JWT는 보통 다음과 같이 두 가지 종류의 토큰을 이용해 인증을 구현한다.

1. 액세스 토큰(Access Token)

2. 리프레시 토큰(Refresh Token)

 

액세스 토큰은 보호된 정보들(유저의 이메일, 연락처, 사진 등)에 접근할 수 있는 권한부여에 사용한다. 클라이언트가 처음 인증을 받게 될 때(로그인 시), 액세스 토큰과 리프레시 토큰 두 가지를 다 받지만, 실제로 권한을 얻는 데 사용하는 토큰은 액세스 토큰이다.

 

그렇다면 액세스 토큰만 있으면 되는걸까?

 

권한을 부여받는 데엔 액세스 토큰만 가지고 있으면 된다.

하지만 액세스 토큰을 만약 악의적인 유저가 얻어냈다면 어떻게 될까?

이 악의적인 유저는 자신이 00유저인 것 마냥 서버에 여러 가지 요청을 보낼 수 있을 것이다.

그렇기 때문에 액세스 토큰에는 비교적 짧은 유효 기간 을 주어 탈취되더라도 오랫동안 사용할 수 없도록 하는 것이 좋다.

 

액세스 토큰의 유효기간이 만료된다면 리프레시 토큰을 사용하여 새로운 액세스 토큰을 발급받을 수 있다. 이때, 유저는 다시 로그인할 필요가 없다.

 

리프레시 토큰도 탈취 당한다면?

 

유효기간이 긴 리프레시 토큰 마저 악의적인 유저가 얻어낸다면 큰 문제가 될 것이다.

오랜 기간 동안 액세스 토큰이 만료되면 다시 발급받으며 유저에게 피해를 입힐 수 있기 때문이다.

그렇기 때문에 유저의 편의보다 정보를 지키는 것이 더 중요한 웹사이트들은 리프레시 토큰을 사용하지 않는 곳이 많다.

 

JWT 구조

aaaaa.bbbbb.ccccc(a부분은 Header, b는 Payload, c는 Signature)

JWT는 위와 같이 . 으로 나누어진 3부분이 존재한다.

 

Header

Header는 이것이 어떤 종류의 토큰인지(지금의 경우엔 JWT), 어떤 알고리즘으로 sign할지가 적혀있다.

SON Web Token이라는 이름에 걸맞게 JSON 형태로 볼 수 있다.

{

  "alg": "HS256",

  "typ": "JWT"

}

 

Payload

Payload에는 서버에서 활용할 수 있는 유저의 정보가 담겨 있다.

어떤 정보에 접근 가능한지에 대한 권한을 담을 수도 있고, 사용자의 유저 이름 등 필요한 데이터를 담을 수 있다.

Payload는 다음으로 설명할 Signature를 통해 유효성이 검증될 정보이긴 하지만, 너무 민감한 정보는 되도록 담지 않는 것이 좋디.

{

  "sub": "someInformation",

  "name": "phillip",

  "iat": 151623391

}

 

Signature

base64로 인코딩된 첫 번째, 그리고 두 번째 부분이 완성되었다면, Signature에서는 원하는 비밀 키(암호화에 추가할 salt)와 Header에서 지정한 알고리즘을 사용하여 암호화한다.

즉, base64 인코딩 자체는 누구나 쉽게 디코딩할 수 있어 Header와 Payload 모두 쉽게 확인할 수 있지만 비밀키를 사용해 이를 암호화한 값(시그니처)은 비밀키를 보유한게 아니라면 해독해내는데 엄청난 시간과 노력이 들어갈 것이다.

예를 들어, 만약 HMAC SHA256 알고리즘(암호화 방법 중 하나)을 사용한다면 Signature는 아래와 같은 방식으로 생성될 것이다.

HMACSHA256(base64UrlEncode(header) + '.' + base64UrlEncode(payload), secret);

 

JWT 사용 예시

JWT는 권한 부여에 매우 유용하다.

새로 다운받은 A라는 앱이 Gmail과 연동되어 이메일을 읽어와야 한다고 생각해보자

1. Gmail 인증서버에 로그인 정보(아이디, 비밀번호)를 제공한다.

2. 성공적으로 인증 시 JWT를 발급받는다.

3. A앱은 JWT를 사용해 해당 유저의 Gmail 이메일을 읽거나 사용할 수 있다.

 

토큰기반 인증 절차

1. 클라이언트가 서버에 아이디/비밀번호를 담아 로그인 요청을 보낸다.

2. 아이디/비밀번호가 일치하는지 확인하고, 클라이언트에게 보낼 암호화 된 토큰을 생성한다.

  • 액세스/리프레시 토큰을 모두 생성한다.
  • ㄴ토큰에 담길 정보(payload)는 유저를 식별할 정보, 권한이 부여된 카테고리(사진, 연락처, 기타 등등)이 될 수 있다.
  • ㄴ두 종류의 토큰이 같은 정보를 담을 필요는 없다.

3. 토큰을 클라이언트에게 보내주면, 클라이언트는 토큰을 저장한다.

  • 저장하는 위치는 Local Storage, Session Storage, Cookie 등 다양하다.

4. 클라이언트가 HTTP 헤더(Authorization 헤더)또는 쿠키에 토큰을 담아 보낸다.

  • bearer authentication을 이용한다.

5. 서버는 토큰을 해독하여 "아 우리가 발급해 준 토큰이 맞네!"라는 판단이 될 경우, 클라이언트의 요청을 처리한 후 응답을 보내준다.

 

JWT의 장점과 단점

JWT를 통한 인증의 장점

1. 무상태성과 확장성(Statelessness & Scalability)의 특징을 가지고 있다.

  • 서버는 클라이언트에 대한 정보를 저장할 필요 없다. (토큰 해독이 되는지만 판단한다)
  • 클라이언트는 새로운 요청을 보낼 때마다 토큰을 헤더에 포함시키면 된다.
  • ㄴ서버를 여러 개 가지고 있는 서비스라면 더더욱 빛을 발휘한다. 같은 토큰으로 여러 서버에서 인증이 가능하기 때문이다. 세션 방식이라면 모든 서버가 해당 유저의 정보를 공유하고 있어야 한다.

2. 안전하다.

  • 암호화한 받은 토큰을 사용하고, 암호화 키를 노출할 필요가 없기 때문에 안전하다.

3. 어디서나 생성 가능하다.

  • 토큰을 확인하는 서버가 토큰을 만들어야 하는 법이 없다.
  • 토큰 생성용 서버를 만들거나, 다른 회사에서 토큰 관련 작업을 맡기는 것 등 다양한 활용이 가능하다.

4. 권한 부여에 용이하다.

  • 토큰의 Payload(내용물) 안에 해당 유저가 어떤 정보에 접근 가능한지 정할 수 있다
  • ㄴex) 서비스의 사진과 연락처 사용 권한만 부여

 

JWT를 통한 인증의 단점

1. Payload는 해독할 수 있다.

  • Payload는 base64로 인코딩 되었다. 토큰을 탈취하여 Payload를 해독하면 토큰 생성시 저장한 데이터를 확인할 수 있다. 되도록 Payload에는 중요한 정보를 넣지 않아야 한다.

2. 토큰의 길이가 길어지면 네트워크에 부하를 줄 수 있다.

  • 토큰에 저장하는 정보의 양이 많아질 수록 토큰의 길이는 길어진다. 요청마다 길이가 긴 토큰을 함께 전송하면 네트워크에 부하를 줄 수 있다.

3.  토큰은 자동으로 삭제되지 않는다.

  • JWT의 장점 중 하나로 Statelessness(무상태성)이 존재한다. 즉 상태를 저장하지 않기 때문에 한 번 생성된 토큰은 자동으로 삭제되지 않는다. 토큰 만료 시간을 꼭 추가해야 한다.
  • 또한 토큰이 탈취된 경우 토큰의 기한이 만료될 때까지 대처가 불가능하다. 만료 시간을 너무 길게 설정해서는 안되는 이유이다.

4. 토큰은 어딘가에 저장되어야 한다.

  • 토큰은 클라이언트가 가지고 있다가 인증이 필요한 요청을 보낼 때마다 함께 전송할 수 있어야 한다.

 

 

 

저작자표시 (새창열림)