✅학습 목표
- 인증된 사용자인지를 증명하는 토큰 방식과 세션 방식의 차이점을 설명할 수 있다.
- JWT(JSON Web Token)가 무엇인지 설명할 수 있다.
- JWT의 구성 요소를 설명할 수 있다.
- JWT의 동작 방식을 이해할 수 있다.
토큰 방식과 세션 방식
| 자격 증명 방식 | 토큰 기반 자격 증명 | 세션 기반 자격 증명 |
| 토큰에 포함된 인증된 사용자 정보는 서버 측에서 별도의 관리를 하지 않음 | 세션을 서버 측 세션 저장소에서 관리 | |
| 세션에 비해 상대적으로 많은 네트워크 트래픽 사용 | 세션 아이디만 클라이언트 쪽에서 사용하므로 상대적으로 적은 네트워크 트래픽 | |
| 서버 측에서 토큰을 관리하지 않으므로 보안성 측면에서 조금 더 불리 | 서버 측에서 세션 정보를 관리하므로 보안성 측면에서 조금 더 유리 | |
| 인증된 사용자 리퀘스트의 상태를 유지할 필요가 없기 때문에 서버의 확장성면에서 유리하고, 세션 불일치 문제가 발생하지 않음 | 서버 확장성 면에서는 세션 불일치 문제가 발생할 가능성 높음 | |
| 민감한 정보는 토큰에 포함시키지 말아야 함 토큰이 만료되기 전까지는 토큰을 무효화 시킬 수 없음 |
세션 데이터가 많아질수록 서버의 부담이 가중 | |
| CSR 방식의 애플리케이션에 적합한 방식 | SSR 방식의 애플리케이션에 적합한 방식 |
JWT란
JWT(JSON Web Token)는 데이터를 안전하고 간결하게 전송하기 위해 고안된 인터넷 표준 인증 방식으로써 토큰 인증 방식에서 가장 범용적으로 사용되며 JSON 포맷의 토큰 정보를 인코딩 후, 인코딩 된 토큰 정보를 Secret Key로 서명(Sign)한 메시지를 Web Token으로써 인증 과정에 사용
JWT의 종류
- 액세스 토큰(Access Token)
- 보호된 정보들(사용자의 이메일, 연락처, 사진 등)에 접근할 수 있는 권한부여에 사용
- 리프레시 토큰(Refresh Token)
- Access Token의 유효기간이 만료된다면 Refresh Token을 사용하여 새로운 Access Token을 발급
JWT 구조
aaaaaa.bbbbbb.cccccc
Header, Payload, signature 세 부분으로 이루어짐
1. Header
토큰의 종류
서명할 알고리즘의 종류
2. Payload
사용자의 권한
사용자의 이름 등
토큰이 탈취될 경우를 대비해 민감한 정보는 담지 않아야 함
3. Signature
토큰의 위변조 유무를 검증하는데 사용
비밀 키와 Header에서 지정한 알고리즘 사용해 Header와 Payload에 대해서 단방향 암호화를 수행
토큰 기반 인증 절차
클라이언트가 로그인 요청을 보냄
아이디/비번 일치 확인, 암호화 된 토큰 생성
토큰을 클라이언트에게 전송, 클라이언트는 토큰 저장
저장위치는 로컬 스토리지, 세션 스토리지, 쿠키등이 될 수 있음
클라이언트가 HTTP Header또는 쿠키에 토큰을 담아 리퀘스트 전송
Bearer authentication 이용
서버는 토큰을 검증 후, 클라이언트의 요청을 처리한 후 응답을 보냄
JWT를 통한 인증 장점
1. stateless, scalable 애플리케이션에 용이
2.클라이언트가 리퀘를 전송할 때 마다 자격 증명 정보를 전송할 필요가 없음
3. 인증을 담당하는 시스템을 다른 플랫폼으로 분리하는 것이 용이
4. 권한 부여에 용이
JWT를 통한 인증 단점
1. Payload 디코딩이 용이
2. 토큰의 길이가 길어지면 네트워크 과부하
3. 토큰은 자동으로 삭제되지 않음
Spring에서 JWT 사용 예시
- JWT 생성에 필요한 의존 라이브러리
dependencies {
implementation 'io.jsonwebtoken:jjwt-api:0.11.5'
runtimeOnly 'io.jsonwebtoken:jjwt-impl:0.11.5'
runtimeOnly 'io.jsonwebtoken:jjwt-jackson:0.11.5'
}
https://www.javainuse.com/spring/boot-jwt
Spring Boot Security + JWT Hello World Example | JavaInUse
package com.javainuse; import org.springframework.boot.SpringApplication; import org.springframework.boot.autoconfigure.SpringBootApplication; @SpringBootApplication public class SpringBootHelloWorldApplication { public static void main(String[] args) { Sp
www.javainuse.com
📚 심화학습
'부트캠프 기록 > Section4' 카테고리의 다른 글
| [Spring Security] JWT 자격 증명을 위한 로그인 인증 구현 (0) | 2022.11.26 |
|---|---|
| [Spring Security] OAuth2 란 (0) | 2022.11.25 |
| [Spring Security] 권한 부여(Authorization, 인가) 처리 흐름 (0) | 2022.11.22 |
| [Spring Security] Spring Security 인증 구성요소 이해 (0) | 2022.11.21 |
| [Spring Security] Spring Security 개요1 (0) | 2022.11.19 |