상세 컨텐츠

본문 제목

토큰 기반 인증 - NodeJS

Computer Science/Security

by Yongari 2023. 1. 3. 22:07

본문

 

 

 

 

토큰 기반 인증은 왜 쓸까요?

세션 기반 인증은 서버 혹은 db에 유저정보를 담는 인증방식입니다. 하지만 매 요청마다 데이터베이스를 살펴보는 것이 불편하고, 이 부담을 덜어내고 싶다면 어떤 방법이 있을까요? 이럴 때 사용할 수 있는 토큰기반 인증 중 대표적인 JWT (JSON Web Token)에 대해 알아봅시다. 

 

 

 

 

JWT의 종류

1. Access Token : 보호된 정보들(연락처, 사진 이메일)에 접근할 수 있는 권한부여할 수 있으며 
비교적 짧은 유효기간을 주어 탈취되더라도 오랫동안 사용할 수 없도록 하는 것이 좋다. 만약에 유효기간이 지나면 Refresh Token을 이용하여 새로운 AccessToken을 발급받는다.


2. Refresh Token : Access Token의 유효기간을 갱신해주는 토큰 보통 Access Token보다 유효기간이 더 길다.

 

 

 

JWT 구조

JWT는 위의 사진과 같이 . 으로 나누어진 3부분이 존재한다.

 

1. Header

Header는 이것이 어떤 종류의 토큰인지(지금의 경우엔 JWT), 어떤 알고리즘으로 sign(암호화)할지가 적혀있다. JSON Web Token이라는 이름에 걸맞게 JSON형태로 이런 형태를 볼 수 있다.

{
"alg" : "HS256",
"typ" : "JWT" 
}

이 JSON 객체를 base64방식으로 인코딩하면 JWT의 첫 번째 부분이 완성된다.

 

2. Payload

Payload에는 정보가 담겨있다. 어떤 정보에 접근 가능한지에 대한 권한을 담을 수도 있고 사용자의 유저 이름 등 필요한 데이터는 이곳에 담아 암호화시킨다. 그러나 민감정보는 담지 않는것이 좋다. 

{

"sub": "Info",
"name": "yongari",
"iat" : 1234353

}


3. Signature

base64로 인코딩된 첫번째, 그리고 두번째 부분이 완성되었다면 원하는 비밀 키(암호화에 추가할 salt)를 사용하여 암호화한다. base64인코딩을 한 값은 누구나 쉽게 디코딩할 수 있지만, 서버에서 사용하고 있는 비밀키를 보유한게 아니라면 해독하는데 시간이 엄청든다.

 

 

Jwt 사용예시

 

JWT는 권한부여에 아주 유용합니다. 새로 다운받은 a라는 앱이 지메일과 연동되어 지메일의 메일을 읽어와야한다고 생각하면 다음과 같습니다.

 

1. 지메일 인증서버에 로그인 정보를 제공한다.

2. 성공적으로 인증시 JWT를 인증받는다.

3. A앱은 JWT를 사용해 해당 유저의 gmail을 읽거나 사용할 수 있다.

 

 

 

 

토큰 기반 인증 절차

 

1. 클라이언트가 서버에 아이디/비밀번호를 담아 로그인 요청을 보낸다. 

2. 아이디/비밀번호가 일치하는지 확인하고, 클라이언트에게 보낼 암호화된 토큰을 생성한다.

  •     access/refresh 토큰을 모두 생성한다.
    • 토큰에 담길 정보(payload)는 유저를 식별할 정보, 권한이 부여된 카테고리(사진, 연락처, 기타등등)이 될 수 있다. 
    • 두 종류의 토큰이 같은 정보를 담을 필요는 없다. 

3. 토큰을 클라이언트에게 보내주면, 클라이언트는 토큰을 저장한다. 

4. 클라이언트가 HTTP 헤더(authorization 헤더)에 토큰을 담아 보낸다.

5. 서버는 토큰을 해독하여 서버에서 발급한 토큰이 맞을 경우 클라이언트의 요청을 처리한 후 응답을 보내준다.

 

 

토큰기반 인증의 장점

1. Statelessness & Scalability (무상태성 & 확장성)

  • 서버는 클라이언트에 대한 정보를 저장할 필요 없습니다.
  • 클라이언트는 새로운 요청을 보낼때마다 토큰을 헤더에 포함시키면 됩니다. 

 

2. 안전하다.

  • 암호화한 토큰을 사용하고 암호화 키를 노출할 필요가 없기 때문에 안전하다.

 

3. 어디서나 생성가능하다.

  • 토큰을 확인하는 서버가 토큰을 만들어야 하는 법은 없다.
  • 토큰 생성용 서버를 만들거나, 다른 회사에서 토큰 관련 작업을 맡기는 것 등 다양한 활용이 가능하다.

 

4. 권한부여에 용이하다. 

  • 토큰의 payload 안에 어떤 정보에 접근 가능한지 정할 수 있다. (예를 들면 서비스 사진과 연락처 사용권한만 부여가능)
저작자표시

'Computer Science > Security' 카테고리의 다른 글

OAuth - github & Node.JS 구현  (0) 2023.01.06
OAuth 2.0(Open Authorization 2.0,)  (0) 2023.01.05
NodeJS 에서 세션기능 구현하기~!  (0) 2023.01.03
세션 기반 인증 - Session-based Authentication  (0) 2023.01.03
Stateless를 Stateful하게 만들어주는 Cookie!  (0) 2023.01.02

관련글 더보기

티스토리툴바