TIL) 토큰 기반 인증 절차, OAUTH 2.0 이란, JWT

 

• 토큰의 개념(Refresh Token과 Access Token의 차이)
• 쿠키 / 세션 방식과 토큰 방식의 차이
• JWT의 작동원리
  • header, payload, signature의 역할
  • JWT가 어떻게 토큰의 변조를 판별하는 지
• 토큰 방식의 한계
• Authentication과 Authorization의 차이
• Authorization Code와 Access Token의 차이
• Authorization 서버와 Resource 서버의 차이에 대해 이해할 수 있다.

---

토큰 기반

서버나 db에 유저 정보를 담는 세션 기반 인증 방식을 보완한 방식

 

토큰은 클라이언트에서 인증 정보를 보관한다. 

여기서 토큰은 유저 정보를 암호화한 상태로 담을 수 있고, 암호화했기 때문에 클라이언트에 담을 수 있다. 

---

대표적인 토큰 기반 인증 => JWT (JSON WEB TOKEN)

 

header 

- 어떤 종류의 토큰인가?

- 어떤 알고리즘으로 암호화 하는가?

{
  "typ": "JWT",
  "alg": "HS256"
}

이 JSON 객체를 base64 방식으로 인코딩하면 JWT의 첫 번째 부분인 Header가 완성된다.

 

 

payload (암호화되지만 그래도 민감한 정보는 No! 디코딩이 쉽다.)

- 유저의 정보

- 권한을 부여 받았는가?

- 기타 필요한 정보

{
    "iss": "velopert.com",
    "exp": "1485270000000",
    "https://velopert.com/jwt_claims/is_admin": true,
    "userId": "11028373727102",
    "username": "velopert"
}

이 JSON 객체를 base64 방식으로 인코딩하면 JWT의 두 번째 부분인 Payload가 완성된다.

 

 

signature

- header, payload를 base64 인코딩한 값과 salt값의 조합으로 암호화된 값

 

base64 인코딩은 누구나 쉽게 디코딩할 수 있어서 Header & Payload 는 쉽게 확인 가능하지만, 비밀키를 이용해서 암호화한 signature는 비밀키를 보유한게 아니라면 디코딩이 어렵다. 

HMACSHA256(
  base64UrlEncode(header) + "." +
  base64UrlEncode(payload),
  secret)

 

---

토큰 기반 인증 중 가장 대표적인 JWT의 종류

1. 액세스 토큰 (access token) = 유저 이메일, 연락처, 사진 등에 접근할 수 있는 권한 부여에 사용한다. / 유효기간이 짧다.

2. 리프레시 토큰 (refresh token) = 액세스 토큰의 유효기간이 만료되면 발급받는 토큰. / 유효기간 길다. 

 

---

토큰기반 인증 절차

1. 클라이언트가 서버에 아이디 / 비밀번호를 담아 로그인 요청을 보낸다. 

2. 아이디 / 비밀번호가 일치하는지 확인하고, 클라이언트에게 보낼 암호화된 토큰을 생성한다. (access/ refresh 토큰 모두 생성)

3. 서버가 토큰을 클라이언트에게 보내주면, 클라이언트는 토큰을 저장한다. (local storage, session storage, cookie 등등)

4. 클라이언트가 HTTP 헤더 또는 쿠키에 토큰을 담아 보낸다. 쿠키에는 refresh 토큰 // 헤더나 바디에는 access 토큰을 담는다. 

5. 서버는 토큰을 해독해서 토큰을 인증하고, 클라이언트의 요청을 처리한 후 응답을 보낸다. 

 

 

---

토큰기반 인증의 장점?

1. statelessness & scalability (무상태성 & 확장성)

- 서버는 클라이언트에 대한 정보를 저장할 필요가 없다. 

- 토큰을 헤더에 추가함으로 인증절차 완료

 

2. 안정성

- 암호화 한 토큰을 사용한다. 

- 암호화 키를 노출할 필요가 없다. 

 

3. 어디서나 생성 가능

-토큰을 생성하는 서버가 꼭 토큰을 만들지 않아도 된다. 

 

4. 권한 부여에 용이

- 토큰의 payload(내용물) 안에 어떤 정보에 접근 가능한지 정의

ex) 사진 권한만 부여 / 연락처 권한만 부여 / 사진과 연락처 사용권한 부여

 

 

---

OAUTH 2.0

 

OAUTH는 인증을 중개해주는 매커니즘이다. (인증을 위한 표준 프로토콜의 한 종류이다. )

보완된 리소스에 액세스하기 위해 클라이언트에게 권한을 제공하는 프로세스를 단순화하는 프로토콜이다. 

 

👉 이미 사용자 정보를 가지고 있는 웹 서비스(네이버, 깃헙, 페이스북, 카카오톡 등)에서 사용자의 인증을 대신해주고, 접근 권한에 대한 토큰을 발급한 후 이를 이용하여 새로운 서버에서 인증이 가능해진다. 

 

OAUTH 용어 정리

용어	설명
resource owner	액세스 중인 리소스의 유저 // ex) hailie
client	resource owner를 대신해서 보호된 리소스에 액세스하는 응용프로그램 // ex) 새로 다운받은 app
resource server	client 의 요청을 수락하고 응답할 수 있는 서버 // ex) 카카오톡
authorization server	resource server가 액세스 토큰을 발급받는 서버 // ex) 카카오톡
authorization grant	client가 액세스 토큰을 얻을 때 사용하는 자격 증명
authorization code	액세스 토큰을 발급받기 전에 필요한 코드
access token	보호된 리소스에 액세스하는데 사용되는 credentials
scope	주어진 액세스 토큰을 사용하여 액세스할 수 있는 리소스 범위 // ex) 프로필

 

---

Grant type이란?

client가 액세스 토큰을 얻는 방법

 

 

Grant type 종류

- Authorization Code Grant Type : 가장 일반적으로 사용함

액세스 토큰을 받아오기 위해서 먼저 Authorization Code를 받아 액세스 토큰과 교환하는 방법

 

1. resource owner가 client 로 접근
2. client가 resource owner를 authorization server로 리다이렉트
3. resource owner가 authorization server에게 액세스 권한 부여 요청
4. authorization server가 client에게 authorization code 제공
5. client는 authorization server에게 authorization code를 access token으로 교환
6. client는  access token을 통해 resource server에 액세스 가능해짐
7. client가 resource server에게 액세스 토큰과 함께 API 요청을 보냄
8. resource server는 client가 요청한 resource 전달

 

 

Authorization Code는 보완성을 강화한다. 

client에서 client-secret을 공유하고 액세스 토큰을 가지고 오는 것은 탈취될 위험이 있기 때문에 client에서는 authorization code만 받아오고 server에서 access token 요청을 진행한다.

 

- Refresh Token Grant Type

일정 기간 유효 시간이 지나서 만료된 액세스 토큰을 편리하게 다시 받아오기 위해 사용하는 방법

 

access token보다 refresh token의 유효 시간이 대체로 조금 더 길게 설정하기 때문에 가능한 방법이다. 

(서버마다 refresh token에 대한 정책이 다르기 때문에 refresh token 사용전에 서버 정책 알아보기)

 

1. client가 authorization server에게 refresh token을 통해서 새로운 액세스 토큰을 요청
2. authorization server는 client에게 새로운 액세스 토큰을 반환함
3. client는 액세스 토큰을 통해 resource server의 resource에 액세스 가능

 

- Implicit Grant Type

- Client Credentials Grant Type

- Resource Owner Credentials Grant Type

---

참고)

https://defineall.tistory.com/1011

https://yung-developer.tistory.com/112

https://ingg.dev/cors/#cors_solution

https://krpeppermint100.medium.com/ts-nodejs-express%EC%9D%98-%EC%9A%94%EC%B2%AD-%EC%9D%91%EB%8B%B5-%EC%97%90%EB%9F%AC-%ED%95%B8%EB%93%A4%EB%A7%81-8943ab7bd13b

https://cinema4dr12.tistory.com/838

https://velog.io/@guswlsapdlf/Session-Cookie-Persistent-Cookie

https://velog.io/@yaytomato/프론트에서-안전하게-로그인-처리하기

😃 잘못된 개념 전달이 있다면 댓글 부탁드립니다. 저의 성장에 큰 도움이 됩니다🤓