인증(Authentication)

인증은 회원가입과 로그인을 말합니다!
인증은 아이디나 이메일주소, 비밀번호 등으로 서비스를 누가 어떻게 쓰는지 확인하는 절차라고 생각하면 됩니다.

비밀번호를 어떻게 관리해야할까?🤔

인증 절차에서 가장 중요하게 생각해야 할게 비밀번호 입니다.
비밀번호는 Database에 저장될때 입력한 값 그대로 저장을 하는건 절대 금지!
해킹을 당해서 유출이 될수도 있고 법적으로 암호화해서 저장하도록 규정이 되어 있습니다.
암호화는 해싱을 사용해서 복원할수 없도록 Database에 저장됩니다.

해쉬(hash)

본래 해쉬함수는 자료구조에서 빠르게 자료를 검색 하거나 데이터의 위변조를 체크하기 위해 사용
인풋이 있으면 아웃풋도 하나만 나오는 함수형태로 되어있습니다.

단방향 해쉬 함수

단방향 해시 함수는 원본 메시지를 변환하여 암호화된 메시지인 다이제스트(digest)를 생성합니다
위에서 20을 해시해서 2000이라는 값이 나오는건 알수 있지만 5000이라는 값이 원래 1이라는 값은 알수 없게 됩니다 그래서 복원이 불가능한 단방향 해쉬 함수는 암호학적 용도로도 사용이 된다고 합니다.
단 같은값인걸 알수 있는방법

예시
password: 1235
hash256이라는 해쉬 함수를 사용 0b47c69b1033498d5f33f5f7d97bb6a3126134751629f4d0185c115db44c094e

단방향 해쉬 함수 취약점🙂

위에 설명 했듯이 본래 해쉬함수는 자료구조에서 빠르게 자료를 검색 하거나 데이터의 위변조를 체크하기 위해 사용 하는 방식이라 공격을 시도하는 사람이 미리 해쉬 값들을 계산해 놓은 테이블을 사용할때도 빠른 속도로 암호를 추측 할수 있다고 합니다.
단방향 해쉬 함수의 취약점들을 보안하기 위해 일반적으로 2가지 보완점들이 사용되는데 아래에서 알아 보겠습니다

Salting

첫번째로는 Salting 인데 말그대로 소금을 치고 늘려준다 생각하면 되시는데
입력한 비밀번호와 임의로 생성한 문자열(Salt)을 합쳐서 해싱을 해주고 이 해시 값을 저장하는 방법 입니다.
비교를 위해 해시값과 Salt값을 같이 저장해주어야

Key Stretching

두번째는 Key Stretching 해커가 패스워드를 무작위 대입을 통해 해시값을 계산하는데 필요한 시간을 대폭 늘리기 위해 salting및 해싱을 여러번 반복해서 원본 값을 유추하기 어렵게 만드는거라 생각하시면 됩니다.

bcrypt

Saltingd와 Key Stretching의 대표적 라이브러리다.
다양한 언어를 지원하고 사용이 간편해해서 쉽게 적용이 가능합니다.

인가(Authorization)

인가는 유저가 요청하는 request를 실행할 수 있는 권한이 있는 유저인가를 확인하는 절차 입니다

Json Web Token

JWT의 구조는 아래 그럼처럼 구조가 되어있습니다

Header

토근의 타입과 해시 알고리즘 정보가 들어갑니다
헤더의 내용에는 BASE64 바식으로 인코딩해서 JWT에 가장 첫 부분에 기록이 됩니다

예시
{
"alg": "HS256", "typ": JWP" }

Payload

Payload에는 내용들이 들어갑니다.
내용에는 exp와 같이 만료시간을 나타내는 공개 클레임이, 클라이언트와 서버간 협의하에 사용 하는 비공개 클레임 을 조합해서 작성한뒤 BASE64로 인코딩하여 JWT에 두번째 부분에 기록이 됩니다.

예시
{
"uesr-id": 1, "exp": 1539517391 }

Signature

Signature은 서명 부분인데 JWT가 원본 그대로라는 것을 확인할때 사용하는 부분이라고 합니다.
Header 와 Payload , JWT secret을 헤더에 지정된 암호 알고리즘으로 암호화 하여 전송합니다.(복호화 가능)