클라이밍하는 개발자

인증과 인가의 기본 개념

• 인증(Authentication): 사용자의 신원을 확인하는 과정 (놀이공원 입장권)
• 인가(Authorization): 인증된 사용자에게 특정 리소스에 대한 접근 권한을 부여하는 과정 (놀이공원에서만 사용가능)

인증 방법의 발전

3.1. 기본 인증

- 사용자 ID와 비밀번호를 직접 입력

- 보안상 취약점 존재

3.2. 쿠키/세션 기반 인증

- 브라우저의 쿠키를 이용한 사용자 정보 저장 (클라이언트 저장)

- 서버 측 세션 관리의 도입 (서버 저장)

3.3. 토큰 기반 인증

- JWT(JSON Web Token) 활용

- 무상태성(Stateless) 구현으로 서버 부하 감소

- 토큰 기반 인증의 구체적 구현

4.1. 액세스 토큰과 리프레시 토큰

- 액세스 토큰: 짧은 유효기간, 실제 인증에 사용

- 리프레시 토큰: 긴 유효기간, 액세스 토큰 갱신에 사용

4.2. 토큰 기반 인증의 장단점

장점: 서버 확장성 개선, DB 조회 최소화

단점: 토큰 탈취 시 보안 위험

보안 강화 방법

- HTTPS 사용

- HttpOnly 옵션 활용

- 토큰 만료 시간 조절

기타 고려사항

- OAuth를 통한 외부 서비스 인증

- 인증 서버 분리

- SSL/TLS 활용

결론

인증과 인가 구현은 보안과 사용자 편의성 사이의 균형을 맞추는 과정입니다. 서비스의 특성과 요구사항에 맞는 최적의 방식을 선택하는 것이 중요합니다.

OAuth 2.0이란?

OAuth 2.0은 서로 다른 서비스 간에 안전하게 인증과 권한 부여를 할 수 있게 해주는 표준 프로토콜입니다. 이를 통해 사용자의 민감한 정보를 직접 공유하지 않고도 다른 서비스의 기능을 이용할 수 있습니다.

OAuth 2.0이 필요한 이유

예를 들어, '우아한 캘린더'라는 서비스를 만들었다고 가정해봅시다. 이 서비스는 구글 캘린더와 연동하여 일정을 관리하려고 합니다. OAuth 2.0 없이는 다음과 같은 문제가 발생할 수 있습니다

• 사용자의 구글 아이디와 비밀번호를 직접 받아야 함
• 보안 위험 증가
• 불필요한 접근 권한 발생

OAuth 2.0을 사용하면 이러한 문제를 해결할 수 있습니다.

OAuth 2.0의 주요 개념

• Resource Owner: 사용자
• Client: 우리가 만든 서비스 (예: 우아한 캘린더)
• Authorization Server: 인증을 담당하는 서버 (예: 구글)
• Resource Server: 실제 데이터를 제공하는 서버 (예: 구글 캘린더)

OAuth 2.0의 동작 과정

1. 사용자가 우아한 캘린더에서 "구글 로그인" 버튼 클릭
2. 구글의 로그인 페이지로 리다이렉트
3. 사용자가 구글에 직접 로그인
4. 구글이 우아한 캘린더에 권한 코드 전달
5. 우아한 캘린더가 권한 코드로 액세스 토큰 요청
6. 구글이 액세스 토큰 발급
7. 우아한 캘린더가 액세스 토큰으로 구글 캘린더 데이터 접근

OAuth 2.0의 장점

• 보안 강화: 사용자의 비밀번호를 직접 다루지 않음
• 권한 제한: 필요한 기능에만 접근 가능
• 사용자 경험 개선: 별도의 회원가입 없이 기존 계정으로 로그인 가능

OAuth 2.0 구현 시 주의사항

• HTTPS 사용 필수
• 클라이언트 ID와 시크릿 안전하게 보관
• Redirect URI 정확히 설정

소셜 로그인과 OAuth 2.0

OAuth 2.0은 주로 소셜 로그인 구현에 사용됩니다. 하지만 OAuth 2.0은 인가(Authorization)를 위한 프로토콜이며, 인증(Authentication)을 위해서는 OpenID Connect라는 추가적인 레이어가 사용됩니다.

결론: OAuth 2.0은 현대 웹 서비스에서 필수적인 보안 프로토콜입니다. 이를 통해 사용자의 정보를 안전하게 보호하면서도 다양한 서비스 간의 연동을 가능하게 합니다. 개발자로서 OAuth 2.0의 개념과 흐름을 이해하는 것은 매우 중요합니다.

출처

https://www.youtube.com/watch?v=Mh3LaHmA21I

1.JWT (JSON Web Token)란?

JWT는 당사자 간에 정보를 JSON 객체로 안전하게 전송하기 위한 컴팩트하고 독립적인 방식을 정의하는 개방형 표준입니다.

주요 특징:

• 구조: Header, Payload, Signature 세 부분으로 구성
• 사용 사례: 인증 및 정보 교환
• 장점: 상태를 저장할 필요가 없어 서버 부하 감소

JWT 작동 방식:

1. 사용자 로그인
2. 서버가 JWT 생성 및 클라이언트에 전송
3. 클라이언트가 후속 요청에 JWT 포함
4. 서버가 JWT 검증 후 요청 처리

2. OAuth란?

OAuth는 사용자 데이터에 대한 접근 권한을 제3자 애플리케이션에 부여할 수 있게 하는 개방형 표준 프로토콜입니다.

주요 특징

• 버전: OAuth 1.0과 OAuth 2.0 (더 널리 사용됨)
• 목적: 안전한 위임 접근
• 역할: Resource Owner, Client, Authorization Server, Resource Server

OAuth 2.0 승인 흐름

1. 클라이언트가 리소스 소유자에게 권한 요청
2. 리소스 소유자가 승인 부여
3. 클라이언트가 인증 서버에 액세스 토큰 요청
4. 인증 서버가 액세스 토큰 발급
5. 클라이언트가 액세스 토큰으로 보호된 리소스 접근

3. JWT vs OAuth

• JWT는 토큰 형식이고, OAuth는 권한 부여 프로토콜입니다.
• JWT는 주로 인증에 사용되고, OAuth는 권한 부여에 중점을 둡니다.
• OAuth는 JWT를 토큰 형식으로 사용할 수 있습니다.

보안 고려사항

• JWT: 서명 검증, 만료 시간 설정, 민감한 정보 암호화
• OAuth: HTTPS 사용, 상태 매개변수 검증, 안전한 클라이언트 비밀 관리

구현 팁

• JWT: jsonwebtoken 라이브러리 (Node.js)
• OAuth: Passport.js (Node.js), Spring Security OAuth (Java)

결론

JWT와 OAuth는 현대 웹 애플리케이션의 보안과 사용자 경험을 향상시키는 강력한 도구입니다. 개발자는 이들의 작동 원리와 적절한 사용 사례를 이해하고 있어야 합니다.