Code State 59일차 - [인증/보안] 기초

Token-based Authentication (토큰기반 인증)

토큰기반 인증은 왜 쓰고, 그리고 언제 쓸까?

세션 기반 인증은 서버(혹은 DB)에 유저 정보를 담는 인증 방식이었다. 서버에서는 유저가 민감하거나 제한된 정보를 요청할 때마다 유저에게 정보를 줘도 되는지 확인하기 위해 가지고 있는 세션 값과 일치하는지 확인한다. 매 요청마다 데이터베이스를 살펴보는 것이 불편하고, 이 부담을 덜어내고 싶다면 토큰 기반 인증 중 대표적인 JWT(JSON Web Token)이 있다. JWT에 알아보자.

클라이언트에서 인증 정보 보관하기

클라이언트에서 인증 정보를 보관하는 방법으로 토큰 기반 인증이 고안되었다. 클라이언트가 토큰을 가지고 있다면 보통의 다른 유저들과는 다르게 서버에서 제공하는 다양한, 더 프리미엄한 기능을 요청할 수 있을 것이다. 그런데 토큰을 클라이어느에 저장해도 정말 괜찮을까? 클라이언트는 XSS, CSRF 공격에 노출이 될 위험이 있으니 민감한 정보를 담고 있어서는 안된다는 것을 기억할 것이다. 그렇다면 민감한 정보는 클라이언트에 담으면 안된다면서, 인증에 사용되는 건 클라이어느에 담아도 된다는 의문을 갖게 된다. 하지만 토큰은 유저 정보를 암호화한 상태로 담을 수 있고, 암호화했기 때문에 클라이언트에 담을 수 있다.

JWT의 종류

1. Access Token
2. Refresh Token

Access token은 보호된 정보들에 접근할 수 있는 권한부여에 사용한다. 클라이언트가 처음 인증을 받게 될 때, access, refresh token 두가지를 다 받지만, 실제로 권한을 얻는 데 사용하는 토큰은 access token이다.

권한을 부여받는데엔 access token만 가지고 있으면 된다. 하지만 access token을 만약 악의적인 유저가 얻어냈다면 어떻게 될까? 이 유저는 자신이 00유저인 마냥 서버에 여러가지 요청을 보낼 수 있게 된다. 그렇기 때문에 access token에는 비교적 짧은 유효기간을 주어 탈취 되더라도 오랫동안 사용할 수 없도록 하는 것이 좋다.

Access token의 유효기간이 만료되면 refresh token을 사용해서 새로운 access token을 발급받는다. 이때, 유저는 다시 로그인할 필요가 없다.

유효기간이 긴 refresh token마저 악의적인 유저가 얻어낸다면 큰 문제가 될 것이다. 상당히 오랜 기간동안 access token이 만료되면 다시 발급 받으며 유저에게 피해를 입힐 수 있기 때문이다. 그렇기 때문에 편의보다 정보를 지키는 것이 더 중요한 웹사이트들은 refresh token을 사용하지 않는 곳이 많다. 세상에 완벽한 보안은 없기 때문에 각 방법들의 장단점을 참고하며 필요에 맞게 사용하는 것이 좋다.

JWT 구조

JWT는 .으로 나우어진 3부분이 존재한다.

1. Header

Header는 어떤 종류의 토큰인지, 어떤 알고리즘으로 sign 할지가 적혀있다. JSON Web Token 이라는 이름에 걸맞게 JSON형태로 되어있다.

2. Payload

Payload에는 정보가 담겨있다. 어떤 정보에 접근 가능한지에 대한 권한을 담을 수도 있고, 사용자의 유저 이름 등 필요한 데이터는 이곳에 담아 암호화 시킨다. 물론 암호화가 될 정보지만, 민감한 정보는 되도록 담지 않는 것이 좋다. 첫번째 부분과 마찬가지로, JSON 객체를 base64로 인코딩하면 JWT의 두 번째 블록이 완성된다.

3. Signature

base64로 인코딩된 첫번째, 그리고 두번째 부분이 완성 되었다면, 원하는 비밀 키(암호화에 추가할 salt)를 사용하여 암호화한다. base64 인코딩을 한 값은 누구나 쉽게 디코딩할 수 있지만, 서버에서 사용하고 있는 비밀키를 보유한게 아니라면 해독해내는데 엄청난 시간과 노력이 들어간다.

JWT 사용 예시

JWT는 권한 부여에 굉장히 유용하다. 새로 다운받은 앱이 Gmail과 연동되어 이메일을 읽어 와야한다면

1. Gmail 인증서버에 로그인정보를 제공한다.
2. 성공적으로 인증시 JWT를 발급받는다.
3. 앱은 JWT를 사용해 해당 유저의 Gmail 이메일을 읽거나 사용할 수 있다.

토큰 기반 인증 절차

1. 클라이언트가 서버에 아이디/비밀번호를 담아 로그인 요청을 보낸다.
2. 아이디/비밀번호가 일치하는지 확인하고, 클라이언트에게 보낼 암호화된 토큰을 생성한다.
   • access/refresh 토큰을 모두 생성한다.
     • 토큰에 담길 정보(payload)는 유저를 식별할 정보, 권한이 부여된 카테고리가 될 수 있다.
     • 두 종류의 토큰이 같은 정보를 담을 필요는 없다.
3. 토큰을 클라이언트에게 보내주면, 클라이언트는 토큰을 저장한다.
   • 저장하는 위치는 local storage, cookie, react의 state 등 다양하다.
4. 클라이언트가 HTTP 헤더(authorization 헤더)에 토큰을 담아 보낸다.
   • bearer authentication을 이용한다.
5. 서버는 토큰을 해독하여 발급해준 토큰이 맞다고 판단이 될 경우, 클라이언트의 요청을 처리한 후 응답을 보내준다.

토큰기반 인증의 장점

1. Statelessness & Scalability (무상태성 & 확장성)
   • 서버는 클라이언트에 대한 정보를 저장할 필요없다(토큰 해독이 되지만 판단한다).
   • 클라이언트는 새로운 요청을 보낼때마다 토큰을 헤더에 포함시키면 된다.
     • 서버를 여러개 가지고 있는 서비스라면 더더욱 빛을 발휘한다(같은 토큰을 여러 서버에서 인증 가능).
2. 안전하다
   • 암호화 한 토큰을 사용하고, 암호화 키를 노출 할 필요가 없기 때문에 안전하다.
3. 어디서나 생성 가능하다
   • 토큰을 확인하는 서버가 토큰을 만들어야 하는 법이 없다.
   • 토큰 생성용 서버를 만들거나, 다른 회사에서 토큰고나련 작업을 맡기는 것 등 다양한 활용이 가능하다.
4. 권한 부여에 용이하다
   • 토큰의 payload 안에 어떤 정보에 접근 가능한지 정할 수 있다.