0928
1. HTTP 프로토콜의 특징
- 비연결 지향(Connectionless) : 클라이언트의 req에 맞는 res를 보낸 뒤 연결을 끊음
- 상태정보유지 안함(Stateless) : 통신이 끝나면 상태정보를 유지하지 않음
=> 기록이 사라져서 어떤 이용자가 요청을 보냈는지 알 수 없음
=> 인증과 권한을 판단하기 어려움
2. 인증(Authentication) 과 권한(Authorization)
1) 인증 (Authentication)
- API 요청에 대하여 사용가능한 사용자인지 확인하는 절차
- 클라이언트가 주장하는 사용자와 동일한 사용자인지를 확인
- 요청의 주체가 누구인지 알기 위해 http 메세지의 Header (Not Body!) 에 인증수단을 넣어 요청
2) 권한 (Authorization)
- 사용자가 특정 자원에 대한 접근 권한이 있는지를 체크
- 클라이언트가 하고자하는 작업이 해당 클라이언트에게 허가된 작업인지 확인
- 사용자의 권한을 레벨에 따라 접근할 수 있도록 제한 가능
- 인증을 거친 후 인증된 사용자에게 특정한 권한을 부여
3. 쿠키 / 세션 / 토큰
- HTTP 프로토콜의 약점을 보완하기 위해 사용 (Connectionless & Stateless)
1) 쿠키 (Cookie)
- req에 대한 res를 보낼 때 쿠키를 함께 보냄
- 쿠키는 단순한 key-value 의 쌍. 클라이언트 로컬에 저장됨
- 일정한 시간동안만 저장되며 클라이언트에는 300개 까지 저장 가능
- 서버로부터 쿠기가 오면 웹브라우저는 쿠키를 저장하고, 요청할 때마다 브라우저가 자동으로 쿠키를 함께 보냄
- 서버는 클라이언트에 사용자가 요청할 만한 정보를 쿠키로 만들어보냄.
- 쿠키는 요청과 응답의 Header에 저장됨
- 브라우저가 종료해도 정보는 남아있음
But 서버가 아닌 클라이언트 로컬에 저장되므로 보안에 취약한 단점
2) 세션 (Session)
- req가 오면 해당 서버엔진이 클라이언트에게 유일한 id인 세션 id를 부여
- 서버에 사용자 정보를 저장(Not 로컬!) 하고, 클라이언트와는 세션 id로만 통신
- 일정 시간동안 같은 브라우저로부터 들어오는 요청을 하나의 상태로 보고 그 상태를 유지 (웹 브라우저 종료시점 까지)
- 클라이언트는 발급받은 세션id를 쿠키를 사용하여 저장
- 세션은 서버 메모리에 저장되며, 서버가 재시작되면 세션데이터가 사라짐 (메모리 리셋)
- 서버자원을 사용하므로 무분별하게 생성하면 메모리 사용량 증가, 속도 느려짐
- 보안성 좋음
3) 토큰 (Token)
- Stateless (무상태) : 클라이언트에 저장하므로 상태를 유지하지 않음
- Extensibility (확장성) : 다른 서비스에서도 권한을 공유할 수 있음
- 유저 인증정보를 서버, 세션, 쿠키에 저장하지 않아 손쉽게 서버 확장이 가능
- 정보를 암호화하여 저장
4. JWT (Json Web Token)
- 인증에 필요한 정보 ( Json 객체 )를 암호화 시킨 토큰
- Access Token 을 http Header에 넣어서 서버로 보냄
- 구조
1) HEADER
- 토큰 타입과 해싱 알고리즘이 들어감(암호화시키는 알고리즘)
1) PAYLOAD
- 토큰에 담을 정보가 들어있음. name과 value로 이루어진 하나의 정보(claim)
- 등록된/ 공개/ 비공개 클레임 존재
- iss:토큰 발급자
- exp:토큰 만료시간
- iat:토큰이 발급된 시간. 토큰의 age가 얼마나 되었는지 판단 가능 =>시간은(numericDate형식)
3) SIGNATUER
- 토큰의 유효성 체크 (secret key 이용)를 위해 서명 검증
- 최초 만들때 signature 에서 scret key를 만드는데 짝퉁은 signature 에서 차단- Refresh Token
- Access Token(JWT)를 이용한 인증방식은 제 3자에게 탈취당하면 보안에 취약
- 토큰 유효기간이 길면 보안문제. 반대로 짧으면 로그인을 자주해야함..
- refresh token은 Access Token과 똑같은 형태의 JWT(유효기간 2주정도)
- accesstoken이 만료되었을때 새로 발급해줌
- 처음에 로그인 하면 access token과 동시에 발급
5. Token을 이용한 서버 통신 실습
어제 진행한 MongoDB 라우터와 컨트롤러에 추가
1) Jwt를 사용하기위해 모듈화
(1) create : 토큰을 생성하여 return, 매개변수로 payload를 받아온다 (payload는 userId와 name)
(2) verify : 생성한 토큰값을 매개변수로 받아와 암호화를 풀어 return. 에러가 발생하면 에러의 종류에 따라 -1, -2, -3 값을 return
2) 인증이 필요한 작업은 authModule을 만들어 미들웨어로 사용
- Board라는 collection 에 업로드, 수정, 삭제를 할때는 userId와 해당 게시물 작성자 Id가 같아야하므로 이를 인증하기 위함!
- 해더값에 key: Authorization / value: AccesToken값을 넣어 req
- token 에 오류가 있으면 오류의 종류에 따라 에러메시지를 출력하도록 설정.
- userInfo 라는 변수를 만들고 토큰의 decoded 된 userId를 넣음
- 이후 컨트롤러에서 사용을 위하여 함수의 결과를 req에 담고 next로 넘김
3) 이후 Controller에서 해독된 토큰값에 들어있는 userInfo와 mongoDB에 저장된 id가 일치하는지를 확인
4) 일치한다면 post / update / delete 기능을 수행.
5) 일치하지 않는다면 에러메시지 ("접근 권한이 없습니다.")
