[S4 U3] JWT 인증(Authentication)

학습목표

• JWT(Json Web Token)를 사용하는 이유를 설명할 수 있다.
• JWT를 이용한 인증 방식을 이해할 수 있다.
• JWT를 사용하여 얻을 수 있는 장단점을 설명할 수 있다.

토큰 기반 자격 증명

HTTP의 특성인 비연결성(Connectionelss)와 무상태성(Stateless)을 보완하여 사용자 인증이 성공적으로 이루어졌을 때, 인증된 사용자의 request의 상태를 유지하기 위한 수단이 필요함.
이에, 대표적인 수단 = 세션(Session)과 토큰(Token)

세션 기반 자격 증명 방식

세션 기반 자격증명 방식은 서버 측에 인증된 사용자의 정보를 세션 형태로 세션 저장소에 저장하는 방식

세션 기반 자격 증명의 특징

• 세션은 인증된 사용자 정보를 서버 측 세션 저장소에서 관리함
• 생성된 사용자 세션의 고유 ID인 세션 ID는 클라이언트의 쿠키에 저장되어 request 전송시, 인증된 사용자인지를 증명하는 수단으로 사용됨
• 세션 ID만 클라이언트쪽에서 사용하므로 상대적으로 적은 네트워크 트래픽을 사용
• 서버측에서 세션 정보를 관리하므로 보안성 측면에서 조금 더 유리함
• 서버의 확장성 면에서는 세션 불일치 문제가 발생할 가능성이 높음
• 세션 데이터가 많아질수록 서버의 부담이 가중될 수 있음
• SSR(Server Side Rendering) 방식의 애플리케이션에 적합한 방식

토큰 기반 자격증명 방식

토큰 기반 자격증명 방식은 자격 증명 정보(Credential)이 포함된 토큰을 통해 인증된 사용자의 자격을 증명하는 동시에 접근 권한을 부여해 접근 권한이 부여도니 특정 리소스에만 접근할 수 있게하는 역할을 함

토큰 기반 자격 증명의 특징

• 토큰에 포함된 인증된 사용자 정보는 서버 측에서 별도의 관리를 하지 않음
• 생성된 토큰을 헤더에 포함해 request 전송시, 인증된 사용자인지 증명하는 수단으로 사용
• 토큰 내에 인증된 사용자 정보 등을 포함하고 있으므로 세션에 비해서 상대적으로 많은 네트워크 트래픽을 사용함
• 기본적으로 서버측에서 토큰을 관리하지 않으므로 보안성 측면에서 조금 더 불리함
• 인증된 사용자 request의 상태를 유지할 필요가 없기 떄문에 서버의 확장성 면에서 유리하고, 세션 불일치 같은 문제가 발생하지 않음
• 토큰에 포함되는 사용자 정보는 토큰의 특성상 암호화가 되지 않기 때문에 공격자에게 토큰이 탈취될 경우, 사용자 정보를 그대로 제공하는 셈 ⇒ 따라서 민감한 정보는 토큰에 포함하지 않아야함.
• 기본적으로 토큰이 만료되기 전까지는 토큰을 무효화시킬 수 없음
• CSR(Client Side Rendering) 방식의 애플리케이션에 적합한 방식

특징	세션 기반 자격 증명	토큰 기반 자격 증명
사용자 정보 관리	서버 측 세션 저장소에서 관리	서버 측에서 별도의 관리를 하지 않음
사용자 정보 전송	세션 ID만 클라이언트쪽에서 사용하여 상대적으로 적은 네트워크 트래픽을 사용	토큰 내에 인증된 사용자 정보 등을 포함하고 있으므로 세션에 비해서 상대적으로 많은 네트워크 트래픽을 사용
보안성	서버측에서 세션 정보를 관리하기 때문에 보안성 측면에서 조금 더 유리	기본적으로 서버측에서 토큰을 관리하지 않으므로 보안성 측면에서 조금 더 불리
확장성	세션 불일치 문제가 발생할 가능성이 높음	세션 불일치 같은 문제가 발생하지 않음
사용자 정보 암호화	-	토큰에 포함되는 사용자 정보는 토큰의 특성상 암호화되지 않기 때문에 민감한 정보는 토큰에 포함하지 않아야 함
무효화 가능 여부	토큰을 무효화시킬 수 있음	기본적으로 토큰이 만료되기 전까지는 토큰을 무효화시킬 수 없음
애플리케이션 유형	SSR(Server Side Rendering) 방식의 애플리케이션에 적합한 방식	CSR(Client Side Rendering) 방식의 애플리케이션에 적합한 방식

---

JWT(JSON Web Token)란?

JWT(JSON Web Token)는 데이터를 안전하고 간결하게 전송하기 위해 고안된 인터넷 표준 인증 방식으로써 토큰 인증 방식에서 가장 범용적으로 사용되며, JSON 포맷의 토큰 정보를 인코딩 후, 인코딩된 토큰 정보를 Secret Key로 서명(Sign)한 Web Token으로써 인증과정에 사용함 * JWT 공식 사이트 : https://jwt.io/

JWT의 종류

1. 액세스 토큰(Access Token) : 보호된 정보(사용자 이메일, 연락처, 사진 등)에 접근할 수 있는 권한 부여에 사용
2. 리프레시 토큰(Refresh Token) : 액세스 토큰을 재발급받을 수 있는 Token

JWT의 구조

1. Header : 토큰의 종류 및 알고리즘을 정의함
2. PayLoad : 서버에서 활용할 수 있는 사용자의 정보가 담겨 있음
   • 민감한 정보는 담지 않는 것이 좋음
3. Signature : 비밀키(Secret Key)와 Header에서 지정한 알고리즘을 사용하여 Header와 Payload에 대해서 단방향 암호화 수행

토큰 기반 인증 절차

• 클라이언트가 서버에 아이디/비밀번호를 담아 로그인 요청
• 아이디/비밀번호가 일치하는지 확인하고, 클라이언트에게 보낼 암호화된 토큰을 생성
  • Access Token과 Refresh Token을 모두 생성
    • 토큰에 담길 정보(Payload)는 사용자를 식별할 정보, 사용자의 권한 정보 등이 포함됨
    • Refresh Token을 이용해 새로운 Access Token을 생성하기떄문에 두 종류의 토큰이 같은 정보를 담을 필요는 없음
• 토큰을 클라이언트에게 전송하면, 클라이언트는 토큰을 저장
  • 저장위치 : Local Storage, Session Storage, Cookie 등
• 클라이언트가 HTTP Header(Authorization Header) 또는 쿠키에 토큰을 담아 request를 전송
  • Bearer authentication을 이용
• 서버가 토큰 검증 후 통과하면 클라이언트의 요청을 처리한 후 응답 전송

<토큰 기반 인증 방식의 절차 (출처 : 코드스테이츠)>

JWT의 장점과 단점

• JWT를 통한 인증의 장점
  • 상태를 유지하지 않고(Stateless), 확장에 용이한(Scalable) 애플리케이션을 구현하기 용이
    • 서버는 클라이언트에 대한 정보를 저장할 필요 없음. 토큰의 정상 여부만 검증 및 판단
    • 클라이언트가 request 전송시 Header에 토큰을 포함
  • 클라이언트가 request를 전송할 때마다 자격 증명 정보를 전송할 필요 없음
    • HTTP basic 같은 인증 방식은 request를 전송할 때마다 자격 증명 정보를 포함해야 하지만 JWT의 경우 토큰이 만료되기전까지는 한 번의 인증만 수행하면 됨
  • 인증을 담당하는 시스템을 다른 플랫폼으로 분리하는 것이 용이
    • 사용자의 자격 증명 정보를 직접 관리하지 않고, Github, Google 등 다른 플랫폼의 자격 증명 정보를 인증하는 것이 가능
    • 토큰 생성용 서버를 만들거나, 다른 회사에서 토큰 관련 작업을 맡기는 것 등 다양한 활용이 가능
  • 권한 부여에 용이
    • 토킨의 Payload(내용물) 안에 해당 사용자의 권한 정보를 포함하는 것이 용이
• JWT를 통한 인증의 단점
  • Payload는 디코딩이 용이함
    • Payload는 base64로 인코팅되기 떄문에 토큰을 탈취하여 Payload를 디코딩하면 토큰 생성시 저장한 데이터를 확인할 수 있음.
    • 따라서, Payload에는 민감한 정보를 포함하지 않아야 함.
  • 토큰의 길이가 길어지면 네트워크에 부하를 줄 수 있음
    • 토큰에 저장하는 정보의 양이 많아질수록 토큰의 길이가 길어짐
    • 따라서 request를 전송할때마다 길이가 긴 토큰을 함께 전송하면 네트워크에 부하를 줄 수 있음
  • 토큰은 자동으로 삭제되지 않음
    • 한번 생성된 토큰은 자동을 삭제되지 않기 떄문에 토큰 만료 시간을 반드시 추가해야함
    • 토큰이 탈취된 경우 토큰의 기한이 만료될 때까지 토큰 탈취자가 해당 토큰을 정상적으로 이용할 수 있으므로 만료 시간을 너무 길게 설정하면 안됨