Java/Spring Security

JWT

마손리 2023. 5. 17. 23:53

JWT를 알아보기 전에 Token기반과 Session기반 인증의 차이에 대해 알아보자.

 

세션 기반 자격 증명 방식

세션 기반 자격 증명 방식은 서버 측에 인증된 사용자의 정보를 세션 형태로 세션 저장소(DB)에 저장하는 방식이다.

 

즉, 클라이언트 측에서 서버 측으로 요청이 들어오면 서버 측에서는 사용자를 식별하기 위해 세션 저장소에 저장된 세션 정보와 사용자가 제공하는 세션이 일치하는지 확인하는 인증 작업을 거친 뒤 인가 처리를 진행한다.

 

 

세션 기반 자격 증명의 특징

  • 세션은 인증된 사용자 정보를 서버 측 세션 저장소(DB)에서 관리한다.
  • 생성된 사용자 세션의 고유 ID인 세션 ID는 클라이언트의 쿠키에 저장되어 request 전송 시, 인증된 사용자인지를 증명하는 수단으로 사용된다.
  • 세션 ID만 클라이언트 쪽에서 사용하므로 상대적으로 적은 네트워크 트래픽을 사용한다.
  • 서버 측에서 세션 정보를 관리하므로 보안성 측면에서 조금 더 유리하다.
    요청에 문제가 발생시 해당 세션을 세션 스토어에서 삭제해주면 된다.
  • 서버의 확장성 면에서는 세션 불일치 문제가 발생할 가능성이 높다.
  • 세션 데이터가 많아질수록 서버의 부담이 가중될 수 있다.
  • SSR(Server Side Rendering) 방식의 애플리케이션에 적합한 방식이다.

 

세션 기반의 자격 증명 방식은 인증된 사용자의 상태를 유지하기 위한 전통적인 방식이다.

 

 

토큰 기반 자격 증명의 특징

  • 토큰에 포함된 인증된 사용자 정보는 서버 측에서 별도의 관리를 하지 않는다.
  • 생성된 토큰을 헤더에 포함해 request 전송 시, 서버가 가지고 있는 고유한 Key와 비교하여 인증된 사용자인지를 증명하는 수단으로 사용된다.
  • 토큰 내에 인증된 사용자 정보 등을 포함하고 있으므로 세션에 비해 상대적으로 많은 네트워크 트래픽을 사용한다.
  • 기본적으로 서버 측에서 토큰을 관리하지 않으므로 보안성 측면에서 조금 더 불리하다.
  • 인증된 사용자 request의 상태를 유지할 필요가 없기 때문에 서버의 확장성 면에서 유리하고, 세션 불일치 같은 문제가 발생하지 않는다.
  • 토큰에 포함되는 사용자 정보는 토큰의 특성상 암호화가 되지 않기 때문에 공격자에게 토큰이 탈취될 경우, 사용자 정보를 그대로 제공하는 셈이 된다. 따라서 민감한 정보는 토큰에 포함하지 말아야 한다.
  • 기본적으로 토큰이 만료되기 전까지는 토큰을 무효화시킬 수 없다. 그렇기에 토큰이 탈취 당하더라도 서버측에서 처리할 방법이 없다.
  • CSR(Client Side Rendering) 방식의 애플리케이션에 적합한 방식이다.

 

 

 

JWT란?

JWT(JSON Web Token)는 데이터를 안전하고 간결하게 전송하기 위해 고안된 인터넷 표준 인증 방식으로써 토큰 인증 방식에서 가장 범용적으로 사용되며 JSON 포맷의 토큰 정보를 인코딩 후, 인코딩 된 토큰 정보를 Secret Key로 서명(Sign)한 메시지를 Web Token으로써 인증 과정에 사용한다.

 

JWT 공식 사이트 : https://jwt.io/

 

 

JWT의 종류

JWT는 보통 다음과 같이 두 가지 종류의 토큰을 사용자의 자격 증명에 이용한다.

  1. 액세스 토큰(Access Token)
  2. 리프레시 토큰(Refresh Token)

 

Access Token은 보호된 정보들(사용자의 이메일, 연락처, 사진 등)에 접근할 수 있는 실제 권한 부여에 사용한다.

 

클라이언트가 처음 인증을 받게 될 때(로그인 시), Access TokenRefresh Token 두 가지를 다 받지만, 실제로 권한을 얻는 데 사용하는 토큰은 Access Token이다.

 

Access Token의 유효기간이 만료된다면 Refresh Token을 사용하여 새로운 Access Token을 발급받는다. 이때, 사용자는 다시 로그인 인증을 할 필요가 없다.

 

따라서 AccessToken의 유효기간을 짧게하면 Access Token을 탈취당하더라도 Access Token이 짧은 시간에 만료되기에 조금더 안전한 상황이 발생한다. 

 

 

JWT 구조

JWT는 위 그림과 같이 .으로 나누어진 세 부분이 존재한다.

 

 1.Header

{
  "alg": "HS256",
  "typ": "JWT"
}

이 JSON 객체를 base64 방식으로 인코딩하면 JWT의 첫 번째 부분이 완성된다.

 

Header는 이것이 어떤 종류의 토큰인지(지금의 경우엔 JWT), 어떤 알고리즘으로 Sign할지 정의한다. JSON Web Token이라는 이름에 걸맞게 JSON 포맷 형태로 정의한다.

 

 

2.Payload

어떤 정보에 접근 가능한지에 대한 권한을 담을 수도 있고, 사용자의 이름 등 필요한 데이터를 담을 수 있다.

{
  "sub": "someInformation",
  "name": "phillip",
  "iat": 151623391
}

Header와 마찬가지로, 위 JSON 객체를 base64로 인코딩하면 JWT의 두 번째 블록이 완성된다.

Payload는 다음으로 설명할 Signature를 통해 유효성이 검증될 정보이긴 하지만, 민감한 정보는 담지 않는 것이 좋다.

(생성된 토큰을 https://jwt.io/ 의 Debugger를 이용하면 Payload의 정보를 손쉽게 얻을 수 있기 때문)

 

Payload에는 서버에서 활용할 수 있는 사용자의 정보(권한 정보 등)가 담겨 있다.

 

 

3. Signature

이렇게 암호화된 메시지는 토큰의 위변조 유무를 검증하는 데 사용다.

 

base64로 인코딩 된 첫 번째, 그리고 두 번째 부분이 완성되었다면, Signature에서는 서버가 가지고 있는 고유한 키(Secret Key)와 Header에서 지정한 알고리즘을 사용하여 Header와 Payload에 대해서 단방향 암호화를 수행한다.

 

 

토큰 기반 인증 절차

  1. 클라이언트가 서버에 아이디/비밀번호를 담아 로그인 요청을 보낸다.
  2. 아이디/비밀번호가 일치하는지 확인하고, 클라이언트에게 보낼 암호화된 토큰을 생성한다.
    • Access Token과 Refresh Token을 모두 생성한다.
      • 토큰에 담길 정보(Payload)는 사용자를 식별할 정보, 사용자의 권한 정보 등이 될 수 있다.
      • Refresh Token을 이용해 새로운 Access Token을 생성할 것이므로 두 종류의 토큰이 같은 정보를 담을 필요는 없다.
  3. 토큰을 클라이언트에게 전송하면, 클라이언트는 토큰을 저장한다.
    • 저장하는 위치는 Local Storage, Session Storage, Cookie 등이 될 수 있다.
  4. 클라이언트가 HTTP Header(Authorization Header) 또는 쿠키에 토큰을 담아 request를 전송한다.
    • Bearer authentication을 이용. 
  5. 서버는 토큰을 검증하여 올바른 토큰이라 판단이 될 경우, 클라이언트의 요청을 처리한 후 응답을 보내준다.

 

 

마무리

세션의 경우 서버 확장 시, 세션 불일치 문제가 발생할 수 있지만 Sticky Session, Session Clustering, Session 저장소의 외부 분리 등의 작업을 통해 보완하고 있다고 한다.

 

그리고 토큰의 경우, 기본적으로 토큰 무효화를 할 수 없지만 key/value 쌍의 형태로 저장되는 Redis 같은 인메모리 DB에 무효화시키고자 하는 토큰의 만료 시간을 짧게 주어 해당 토큰을 사용하지 못하게 하는 등의 방법을 사용해 토큰 무효화 문제를 보완하고 있다고 한다.

 

아직까지 위의 해결방안들이 어떤 방식인지 잘 모르겠다... 시간이 나면 따로 알아보고 싶지만 공부해야될게 너무 많다.😭😭😭

'Java > Spring Security' 카테고리의 다른 글

CORS 설정  (0) 2023.06.07
DelegatingPasswordEncoder  (0) 2023.05.15
SecurityFilterChain과 AuthenticationProvider 구현  (0) 2023.05.13
Spring Security의 인증 처리 흐름  (0) 2023.05.13
Servlet Filter 구현  (0) 2023.05.13