본문 바로가기
프로그래밍/보안

토큰 기반 인증(Token-based Authentication) 그리고 JWT (Json Web Token)

by 공부하는EJ 2022. 6. 8.
728x90

🌈 토큰 기반 인증 (Token-based Authentication)

 

세션 기반 인증은 서버 혹은 DB에 유저 정보를 담는 인증방식이었다. 하지만 이러한 세션 방식을 사용하면 매 요청마다 데이터베이스를 살펴봐야하기 때문에 불편하다. 이러한 부담을 덜어내기 위해 토큰기반인증방식을 사용할 수 있다. 

 

이러한 토큰기반 인증 중 JWT(Json Web Token)이 대표적이다.

 

💡JWT의 종류

 

<Access token, Refresh token>

: Access token은 보호된 정보들에 접근할 수 있는 권한부여에 사용된다. 클라이언트가 처음 인증을 받게 될 때, access, refresh token 두 가지를 다 받지만, 실제로 권한을 얻는 데 사용하는 토큰은 access token 이다.

 

access token은 비교적 짧은 유효기간을 주기 때문에, 탈취되더라도 오랫동안 사용할 수가 없다. access token이 만료된다면 refresh token을 사용하여 새로운 토큰을 발급받기 때문에 다시 로그인할 필요가 없다. 유효기간이 긴 refresh token마저 악의적인 유저가 얻어낸다면 큰 문제가 될 수 있기 때문에 유저의 편의보다 정보를 지키는 것이 더 중요한 사이트들은 리프레쉬 토큰을 사용하지 않는 곳이 많다. 

 

 

💡JWT의 구조

 

1. Header

: 헤더에는 이것이 어떤 종류의 토큰인지, 어떤 알고리즘으로 암호화(sign)할 것인지 적혀 있다. JSON Web Token 이라는 이름에 걸맞게 JSON 형태로 구성되어 있다. 아래와 같은 객체를 base64 방식으로 인코딩하면 JWT의 첫 번째 부분이 완성된다.

{
  "alg": "HS256",
  "typ": JWT
}

 

2. Payload

: 페이로드에는 정보가 담겨 있다. 어떤 정보에 접근 가능한지에 대한 권한을 담을 수도 있고, 사용자의 유저 이름 등 필요한 데이터는 이곳에 담아 암호화 시킬 수 있다. 물론 암호화가 될 정보지만, 민감한 정보는 담지 않는 것이 좋다. 이 부분도 헤더와 마찬가지로 base64 방식으로 인코딩하면 JWT의 두 번째 블록이 완성된다.

{
  "sub" : "someInformation",
  "name" : "phillip",
  "iat" : 151623391
}

 

3. Signatrue

: 마지막은 원하는 비밀 키를 사용하여 암호화한다. base64 인코딩을 한 값은 누구나 쉽게 디코딩할 수 있지만, 서버에서 사용하고 있는 비밀키를 보유한 게 아니라면 해독하는데에 엄청난 시간과 노력이 들어간다.

 

만약 HMAC SHA256 알고리즘을 사용한다면 아래와 같은 방식으로 생성한다.

 

HMACSHA2256(base64UrlEncode(header) + '.' + base64UrlEncode(payload), secret);

 

💡JWT의 사용 예시

 

JWT는 권한 부여에 굉장히 유용한다. 새로 다운받은 앱이 Gmail과 연동 되어 이메일을 읽어와야 한다고 생각해보자 유저는,

1. gmail 인증 서버에 로그인 정보를 제공한다.

2. 성공적으로 인증시 JWT를 발급 받는다.

3. 앱은 JWT를 사용해 해당 유저의 이메일을 읽거나 사용할 수 있다.

 

💡토큰기반 인증의 장점

 

1. Statelessness & Scalablity (무상태성, 확장성)

- 서버는 클라이언트에 대한 정보를 저장할 필요가 없다. (토큰이 해독 되는지만 판단함)

- 클라이언트는 새로운 요청을 보낼때마다 토큰을 헤더에 포함시키면 된다. 서버를 여러개 가지고 있는 서비스라면 더더욱 빛을 발휘하게 되는데, 같은 토큰으로 여러서버에서 인증 가능하기 때문이다.

 

2. 안전하다.

- 암호화된 토큰을 사용하고 암호화 키를 노출 할 필요가 없기에 안전하다.

 

3. 어디서나 생성 가능하다.

- 토큰을 확인하는 서버가 토큰을 만들어야하는 법이 없다.

- 토큰 생성용 서버를 만들거나, 다른 회사에 토큰 작업을 맡기는 것 등이 가능하다.

 

4. 권한 부여에 용이하다.

- 토큰의 payload안에 어떤 정보에 접근 가능한지 정할 수 있다. 

ex) 서비스와 사진과 연락처 사용권한만 부여.

728x90

'프로그래밍 > 보안' 카테고리의 다른 글

HTTPS 프로토콜, 암호화  (0) 2022.06.08
IM-SPRINT-AUTH-TOKEN, JWT를 이용한 프로그램 구현. (client-token)  (0) 2022.06.08
OAuth 2.0이란? OAuth는 언제 왜 사용할까?  (0) 2022.06.08
IM-SPRINT-AUTH-TOKEN, JWT를 이용한 프로그램 구현. (server-token)  (0) 2022.06.08
mkcert라는 프로그램을 이용하여 로컬 환경에서 신뢰할 수 있는 인증서 만들어보기 - macOS  (0) 2022.06.08

관련글

댓글

티스토리툴바