인증 & 인가

인증

접근가능한 유효한 유저임을 증명하는 것
ex. 여권과 비행기 표를 확인해야 비행기를 탈 수 있다.

인가

인증되어 우리 서버에 접근 가능한 사용자라고 하더라도 권한에 따라 접근할 수 있는 리소스가 다르면 그 권한에 따라 인가(허가)
ex. 비행기 좌석 등급에 따라 앉을 수 있는 자리가 다르다.

인증이 누구인지 확인하는 거라면, 인가는 무엇을 할 수 있는 사용자인지 알아보는 것 → 인증 인가를 구현하는 방법에는 주로 세션(Session)방식과 토큰(Token) 방식이 있다.

왜 인증을 위해 세션(Session)과 토큰(Token)이 필요한가? 클라이언트와 서버는 데이터를 주고받기 위해 HTTP 프로토콜 방식을 범용적으로 사용하고 있기 때문에

그럼 HTTP는 뭐길래..

HTTP

HTTP이란?

Hypertext Transfer Protocol

⭐️ HTTP는 서버와 클라이언트가 인터넷상에서 데이터를 주고 받기 위한 프로토콜(protocol)
TCP/ IP를 이용하는 응용 프로토콜
- Transmission Control Protocol (전송 제어 프로토콜)
- 인터넷은 보통 TCP/IP라는 약속으로 연결되어 있음.
- TCP는 응용 프로그램이 데이터를 교환할 수 있는 네트워크 대화를 설정하고 유지하는 방법을 정의하는 표준
- 월드 와이드 웹, 이메일, 원격 관리, 파일 전송과 같은 주요 인터넷 애플리케이션은 전송 계층의 일부인 TCP에 의존
- TCP는 인터넷 프로토콜 (IP)과 작동하여 컴퓨터가 서로 데이터 패킷을 보내는 방법을 정의
- TCP protocol은 3-way handshaking을 통해 연결을 수립하고 4-way handshaking을 통해 해제

참고 : TCP 통신에 대해서 알아보자…

HTTP 동작 방법

connect : 클라이언트가 원하는 서버에 접속
request : 클라이언트가 이 서버에 요청.클라이언트가 서버에게 연락하는 것을 요청이라고 하며 요청을 보낼때는 요청에 대한 정보를 담아 서버로 보낸다.
response : 서버가 요청에 대한 응답결과를 클라이언트에게 보내는 것을 응답이라고 한다.응답이 끝나면 서버와 클라이언트 연결 끊기(Stateless)

http 요청 데이터 포맷
- Header
- 요청메소드 : GET, PUT, POST, PUSH, OPTIONS 등의 요청방식
- 요청URL : 요청하는 자원의 위치를 명시한다.
- HTTP 프로토콜 버전 : 웹 브라우저가 사용하는 http 프로토콜의 버전이다.
- Body
- 요청을 할 때 함께 보낼 데이터를 담는 부분
- 요청메소드가 POST나 PUT을 사용하게 됐을 때 함께 보냄 ( GET 방식은 요청할 때 가지고 가야 되는 자원도 URL에다 붙여사 갖고 감. 그래서 GET방식은 요청바디가 없음.)

http 응답 데이터 포맷
- Header
- 첫번째 줄에는 반드시 응답 HTTP 프로토콜의 버전/응답코드/응답메세지
- 나머지 헤더 부분에는 날짜, 웹서버 이름과 버전, 콘텐츠 타입, 캐시 제어 방식, 콘텐츠 길이 등의 값이 나옴
- Body
- 빈줄 다음에 나오는 것이 실제 응답 리소스 데이터가 나오는 부분
- 응답에는 대부분의 경우 본문이 있다. 보통 데이터를 요청하고 응답 메시지에는 요청한 데이터를 담아서 보내주기 때문이다. 응답 메시지에 HTML이 담겨 있는데 이 HTML을 받아 브라우저가 화면에 렌더링한다.

HTTP의 특징

비연결지향성 (connectionless)
- HTTP 는 먼저 클라이언트가 요청을 서버에 보내면, 서버는 클라이언트에게 요청에 맞는 응답을 보내고 TCP/IP 연결을 끊는다
- (( 1요청 1응답 후 연결 끊음 ))
무상태성 (stateless)
- 연결을 끊는 순간 클라이언트와 서버의 통신이 끝나고 상태 정보를 유지하지 않는 특성
- ((연결 끝나면 다음 요청이 올 때까지 어떤 사용자인지, 어떤 정보를 가지고 있는지 기억하지 않음. 즉 로그인을 했더라도 1요청 1응답이 끝나면 다음화면으로 이동하거나 다음 액션 실행 시 유저가 로그인했는지 인증된 인물인지 알지 못한다.))

이러한 특징의 장점이라면 불특정 다수를 대상으로 하는 서비스에 적합 계속 서버와 클라이언트의 연결상태를 유지하는 게 아니기때문에 클라이언트와 서버간의 최대 연결수보다 훨씬 많은 요청과 응답을 처리 가능

But, 어플리케이션은 상태를 유지해야 하는 서비스가 존재하는데 -> 이에 대표적인 서비스가 '로그인' -> connectionless, stateless 같은 HTTP 프로토콜의 한계를 보안하기 위해 쿠키, 세션, 토큰을 사용한다

쿠키 Cookie

웹 브라우저에 한정된 데이터 형태! 웹 브라우저가 보관하는 데이터
쿠키는 Key-Value 형식의 문자열 덩어리이다.
클라이언트가 어떠한 웹사이트를 방문할 경우, 그 사이트가 사용하고 있는 서버를 통해 클라이언트의 브라우저에 설치되는 작은 기록 정보 파일이다.
웹 서버가 생성하여 웹 브라우저로 전송하는 작은 정보 파일 -> (클라이언트 측(브라우저)에서 관리되는 작은 기록 정보 파일)
웹 브라우저는 수신한 쿠키를 미리 정해진 기간 동안 또는 웹 사이트에서의 사용자 세션 기간 동안 저장합니다. (쿠키에는 사용자 인증이 유효한 시간을 명시할 수 있다)
웹 브라우저는 향후 사용자가 웹 서버에 요청할 때 관련 쿠키를 헤더에 실어서 함께 전송

쿠키를 이용하면 웹 서버와 클라이언트는 필요한 값을 공유하고 상태를 유지할 수 있습니다. ⇒ 이런 식으로 로그인이 유지되는 것

쿠키 어디에 저장?

웹 브라우저는 사용자 기기의 지정된 파일에 쿠키를 저장합니다.예를 들어, Google Chrome 웹 브라우저는 모든 쿠키를 "Cookies"라는 파일에 저장합니다.Chrome 사용자는 개발자 도구를 열고 "애플리케이션" 탭을 클릭한 다음 왼쪽 메뉴에서 "쿠키"를 클릭하여 브라우저에 저장된 쿠키를 확인할 수 있습니다.

쿠키 어떤 용도로 사용?

(인증 부분 관련해서는) 사용자 세션
- 로그인하면 웹 사이트 서버에서 세션 쿠키가 생성되고 이 쿠키가 브라우저로 전송
- 어떤 페이지에 대한 HTTP 요청이 있을 때 요청에 세션 쿠키가 포함. 웹 사이트에 이 쿠키가 있으므로 새 페이지가 로드될 때 다시 로그인할 필요가 없습니다.
개인화
- 쿠키가 웹 사이트에서 사용자 행동 또는 사용자 기본 설정이 "기억"되는 데 도움이 되므로 웹 사이트에서 사용자 경험이 맞춤화될 수 있습니다.
- (ex. 오늘 하루 더이상 보지 않기 )
추적
- 일부 쿠키에는 사용자가 방문한 웹 사이트가 기록된다.
  
  어떤 웹사이트에서 추적 쿠키를 브라우저에 전송해놓았을 경우? -> 다음번에 브라우저가 해당 서버 콘텐츠를 로드할 때 쿠키를 생성한 서버로 전송된다. ex. 사용자가 이전에 추적 쿠키를 전송한 A웹사이트에 방문한 적이 있는 경우, → 이 쿠키에는 사용자가 어떤 사이트에서 어떤 제품을 보고 있었는지에 대한 정보가 기록될 수 있다. → 그 다음 추적 쿠키를 브라우저에 전송한 A웹사이트를 로드할 때 쿠키의 정보를 기반으로 그 제품에 대한 광고가 표시될 수 있다.

쿠키 동작 방식

클라이언트가 페이지를 요청
서버에서 쿠키를 발급.
HTTP 헤더에 쿠키를 포함 시켜 응답
최초 로그인 응답 이후 → 응답 헤더에는 Cookie 미포함, 브라우저가 종료되어도 쿠키 만료 기간이 있다면 클라이언트에서 보관하고 있음.
쿠키가 존재하면 요청을 할 경우 HTTP 헤더에 쿠키를 함께 보내서 요청
서버에서 쿠키를 읽어 이전 상태 정보를 변경 할 필요가 있을 경우, 쿠키를 업데이트 하여 변경된 쿠키를 HTTP 헤더에 포함시켜 응답.

하지만 쿠키만으로 로그인을 구현하는 것은 한계가 있습니다. 쿠키는 네트워크를 통해 전달되기 때문에 중간에 쿠키를 탈취할 수 있다는 취약점이 있습니다. 개발자 도구를 켜서 바로 볼수도 있기 때문에 중요한 사용자 정보라도 저장되어 있으면 큰일. 이를 보완하고자 우리는 세션(Session) 을 사용합니다.

세션

인증 및 권한 부여 정보를 포함하여 사용자의 인증 관련 데이터를 저장하기 위한 서버측 메커니즘
⭐️쿠키와 다른 점은 쿠키는 각 브라우저의 별도 쿠키 저장소에 저장되는 반면에 세션은 서버에 저장이 됩니다.
웹 브라우저는 웹 서버에 연결 시 매번 세션 ID 를 보내서 웹 서버가 어떤 세션을 사용할 지 알 수 있도록 합니다.
이 때, 웹 서버와 웹 브라우저가 세션 ID 를 주고받기 위해서 사용하는 것이 쿠키입니다.

세션의 동작 과정

사용자가 서버에 로그인 request
서버는 request가 들어오면 세션 ID를 생성하여 세션DB에 저장
→ response header에 포함시켜 response. ( 만들어진 sessionID는 쿠키를 통해 브라우저로 돌아오고 저장된다.)
사용자는 서버에서 해당 세션ID를 받아 쿠키에 저장을 한 후 제한된 요청에 접근할 때 마다 쿠키를 request header에 포함시켜 내보낸다.
서버에서는 쿠키를 받아 세션 저장소에서 검증한 후 요청에 해당하는 데이터를 반환한다.

특징, 장점/단점

세션 ID를 담는 ‘쿠키’에 중요한 정보를 담지 않기 때문에 http 요청 중 노출되어도 크게 위험하진 않지만
쿠키 자체를 훔쳐 세션에 접근하면 중요한 정보를 뺴낼수도 있게된다.
단점
- 서버에 세션을 저장하기 때문에 사용자 수가 많아지면 서버의 부담이 늘어난다. 또한 서버 확장성(scalability)이 나빠진다. ( 여러개의 서버에서 한 세션이 첫번째 서버에 생성되었다고 가정했을 때, 새로운 요청이 발생하고 그 요청이 다른 서버에 전달되면 해당 서버에는 세션 정보가 없기때문에 unauthorized 응답을 받는다)
- client 의 HTTP 요청이 탈취 당하여 쿠키가 해킹당한다면 (세션 하이재킹) 서버는 사용자를 오인하여 정보를 제공한다.
- (⇒ 이것을 막기 위하여 HTTPS를 사용하거나 세션에 유효기한을 걸기도 한다.)

https : HTTPS(Hypertext Transfer Protocol Secure)는 HTTP의 확장 버전 또는 더 안전한 버전입니다. HTTPS에서는 브라우저와 서버가 데이터를 전송하기 전에 안전하고 암호화된 연결을 설정합니다.

http, https 차이 HTTP는 암호화되지 않은 데이터를 전송합니다. 즉, 브라우저에서 전송된 정보를 제3자가 가로채고 읽을 수 있습니다. 이는 이상적인 프로세스가 아니었기 때문에, 통신에 또 다른 보안 계층을 추가하기 위해 HTTPS로 확장되었습니다. HTTPS는 HTTP 요청 및 응답을 SSL 및 TLS 기술에 결합합니다.

장점
- 모든유저의 정보를 DB에 저장하기 때문에 가능한 것들이 장점
- 특정유저 쫒아내고싶을때 DB에서 그 유저 삭제 가능
- 인스타그램 처럼 로그인된 모든 계정을 보여줄 수 있음
- 넷플릭스처럼 계정 공유 숫자 제한 가능

토큰

토큰이란?

인증에서의 토큰은 제한된 리소스에 대해 일정 기간 동안 접근할 수 있는 권한을 캡슐화한 것.
토큰은 일반적으로 의미를 알 수 없는 임의의 문자열 형태로 사용자에게 발급
서버에서는 클라이언트로부터 받은 토큰을 서버에서 제공한 토큰과의 일치 여부를 체크하여 인증 과정을 처리
유효 기간이 끝날 때까지 사용자 인증 가능 (그래서 물리적 탈취 시에 위험)

토큰의 동작 과정

사용자가 로그인 request
서버는 request가 들어오면 사용자 검증을 통해 유효성을 확인하고 통과한다면 토큰을 response와 반환한다.
클라이언트는 토큰을 저장, 서버 요청 시 토큰을 request header에 담아 서버에 요청을 보낸다.
서버는 토큰을 검증 후, 요청에 응답.
- 서버는 유저로부터 전달받은 토큰을 본인들이 발급한 토큰이 맞는지, 만료되지는 않았는지 등을 따져 유효성을 검사하고, 유효한 토큰인 경우 접근을 허가합니다.

토큰의 특징 / 단점

모바일 앱 사용에 편리
- 앱과 서버가 통신 및 인증할때 가장 많이 사용된다. 왜냐하면 웹에는 쿠키와 세션이 있지만 앱에서는 없기 때문이다.
- 세션 기반 인증을 사용하면 앱에서는 쿠키가 없기 때문에 쿠키 매니저를 따로 관리해야하지만 토큰을 사용하게 된다면 웹 요청 api 헤더에 넣어서 사용하기 때문에 따로 쿠키 매니저가 필요하지 않다.
토큰은 세션과는 달리 서버가 아닌 클라이언트에 저장되기 때문에 메모리나 스토리지 등을 통해 세션을 관리했던 서버의 부담을 덜 수 있다.

단점
- stateless한 토큰의 특성 떄문에(인증했다는 상태 정보를 유지하지 않는다.) 토큰을 강제로 만료할 수 없다는 점이다. (큰이 공격자에게 탈취되었다고 가정하면, 공격자는 토큰이 만료될 때 까지 서버에 요청을 할 수 있다는 것... ㅠㅠ)
- -> (따라서 사용 기간 제한을 설정하는 식으로 극복한다)
- Session에서 장점으로 말한 기능들을 사용할 수 없다. ( 사용자가 인증되었다는 정보를 메모리 또는 데이터베이스에 유지하지 않기 때문)

토큰 인증 방식의 단점을 보완하기 위해 토큰의 타입을 'Refresh Token'과 'Access Token'으로 나누어 사용하는 방식의 JWT 토큰을 사용하게 된다.

JWT

JWT(JSON Web Token)란 인증에 필요한 정보들을 암호화시킨 JSON 토큰
JWT 기반 인증은 JWT 토큰(Access Token)을 HTTP 헤더에 실어 서버가 클라이언트를 식별하는 방식
토큰은 base64로 인코딩한 string으로 이루어진다. (JSON 데이터를 Base64 URL-safe Encode 를 통해 인코딩하여 직렬화)
- *Base64 URL-safe Encode 는 일반적인 Base64 Encode 에서 URL 에서 오류없이 사용하도록 '+', '/' 를 각각 '-', '_' 로 표현한 것이다.
서버만 알고 있는 Secret Key로 디지털 서명화되어있기 때문에 신뢰할 수 있다.
⭐️JWT에서는 토큰 자체에 유저 정보를 담아서 HTTP 헤더에 전달하기에 유저 세션을 유지할 필요가 없다. ( stateless )⭐️
- 세션/ 쿠키는 (유저 상태를 저장해놓는)별도 저장소의 관리가 필요하지만, JWT는 서버 입장에서 요청을 받았을 때 발급한 후 검증만 하기 때문에 추가로 저장소가 필요 없다.

JWT 구조

JWT는 . 을 구분자로 나누어지는 세 가지 문자열의 조합

Header 에는 JWT 에서 사용할 타입과 해시 알고리즘의 종류가 담겨있으며,
- alg : 서명 암호화 알고리즘(ex: HMAC SHA256, RSA)
- typ : 토큰 유형
Payload 는 서버에서 첨부한 사용자 권한 정보와 데이터가 담겨있다. ( 서버와 클라이언트가 주고받는 시스템에서 실제로 사용될 정보에 대한 내용을 담고 있는 섹션)
마지막으로 Signature 에는 Header, Payload 를 Base64 URL-safe Encode 를 한 이후 Header 에 명시된 해시함수를 적용하고, 개인키(Private Key)로 서명한 전자서명이 담겨있다.
- 시그니처의 구조는 (헤더 + 페이로드)와 서버가 갖고 있는 유일한 key 값을 합친 것을 헤더에서 정의한 알고리즘으로 암호화를 한다.

https://jwt.io/ 여기서 쉽게 JWT 토큰을 인코딩(생성) 하거나 디코딩 할수 있다.

JWT 동작 과정

처음 유저가 로그인할 때 ID, PW 를 서버에 보내는 것은 동일!
- but, ID, PW를 보내도 ( 세션 방식에서의 세션 DB에 저장하는것처럼) 서버는 DB에 뭔가를 생성하지 않는다.
서버는 유저의 정보를 가져다가 ⭐️서버가 가진 “시크릿키”⭐️을 사용해서 signed information을 담은 token 만들어 string 형태로 보낸다
- 이 string은 세션ID 보다 훨씬 길다. 쿠키는 공간 제약(space limit)이 있지만, JWT 는 공간 제약(space limit)이 없어서 엄청 길어도됨
이후에는 서버에 request 보낼 때 마다 token(signed information)을 보낸다.
서버가 토큰을 받으면 자신이 가진 ⭐️시크릿키로 해당 토큰의 유효성검사⭐️를한다(토큰을 조작했는지 여부)
토큰이 유효하다면, 유저 정보 파악 ( 토큰 해석해서 유저이름, 만료시기,권한 등을 파악한다)
인증 & 응답을 보낸다.

Access Token & Refresh Token

Access Token
- Access Token은 단순하게 자원에 접근하는 Access Token이 아니라, 권한/ 인증에 대한 Token
Refresh Token
- Refresh Token은 Access Token과 똑같은 형태의 JWT이며 Access Token의 탈취 문제를 해결하기 위해 발급하는 토큰

서버는 access token 과 refresh token 을 한번에 만들어낸다 -> refresh token만 저장소에 저장한다. ( access token은 저장하지 않음) -> access token 과 refresh token 둘 다 헤더에 담아 보내서 클라이언트가 둘 다 저장 -> access token이 만료된 후에 서버에 이걸로 요청하면 -> 서버는 만료되었다고 알려주고 -> 브라우저는 다시 access token 과 refresh token 을 둘 다 서버에 보낸다 -> 그럼 서버는 업데이트된 access token를 브라우저로 보내준다.

JWT 특징

세션 방식은 유저를 확인할 때 DB를 조회해봐야하는데 JWT 는 DB를 건드리는 대신, 토큰이 유효한지만 검증하면된다.
세션/ 쿠키는 별도 저장소의 관리가 필요하지만, JWT는 서버 입장에서 요청을 받았을 때 발급한 후 검증만 하기 때문에 추가로 저장소가 필요 없다.
=> 클라이언트 인증 정보를 저장하는 세션과 다르게, 서버는 무상태(StateLess)가 되어 서버 확장성이 우수해질 수 있다.
모바일 어플리케이션 환경에서도 잘 동작한다. (모바일은 세션 사용 불가능)

주의해야할 점
- JWT는 ⭐️ 암호화되지 않았기 때문에 ⭐️ 해독이 쉽기 때문에
  - ⭐️payload 자체는 암호화 된 것이 아니라 BASE64로 인코딩 된 것⭐️이기 때문에, 중간에 Payload를 탈취하여 디코딩하면 데이터를 볼 수 있으므로, payload에 중요 데이터를 넣지 않아야 한다.
  - 토큰 자체에 정보를 담고있기 때문에 비밀정보는 JWT 안에 두면 안된다.
- 토큰 길이 : 토큰의 Payload에 3종류의 클레임을 저장하기 때문에, 정보가 많아질수록 토큰의 길이가 늘어나 네트워크에 부하를 줄 수 있다.
- stateless 특징을 가지기 때문에, 토큰은 클라이언트 측에서 관리하고 저장한다. 때문에 토큰 자체를 탈취당하면 대처하기가 어렵게 된다.

[서버 기반(Stateful) vs 토큰 기반(Stateless)]

stateful 서버
- 서버(세션) 기반 인증 시스템서버의 세션을 사용해 사용자 인증을 하는 방법으로 서버측(서버 램 or 데이터베이스)에서 사용자의 인증정보를 관리하는 것을 의미한다.그러다 보니, 클라이언트로부터 요청을 받으면 클라이언트의 상태를 계속에서 유지해놓고 사용한다.(Stateful) 이는 사용자가 증가함에 따라 성능의 문제를 일으킬 수 있으며 확장성이 어렵다는 단점을 지닌다.
- 쿠키와 세션을 사용했을 때는 ⭐️stateful 서버⭐️로서 인증에 성공하였을 때의 결과(세션)을 메모리 또는 데이터베이스에 유지한다
- -> 서버에 부하가 발생할 수 있다.
stateless 서버
- 토큰 기반 인증 시스템이러한 단점을 극복하기 위해서 "토큰 기반 인증 시스템"이 나타났다.인증받은 사용자에게 토큰을 발급하고, 로그인이 필요한 작업일 경우 헤더에 토큰을 함께 보내 인증받은 사용자인지 확인한다.이는 서버 기반 인증 시스템과 달리 상태를 유지하지 않으므로 Stateless 한 특징을 가지고 있다.
- 토큰 기반 인증은stateful서버와 반대적 개념인 stateless
- 토큰을 사용했을 때는 ⭐️stateless 서버⭐️로서 인증했다는 상태 정보를 유지하지 않는다.
- -> (서버가 전달받은 토큰을 검증만 하면 되기 때문에 서버의 부담을 줄이고 서비스의 확장성을 높일 수 있다.)

yyeonjju / Interview_Questions

HTTP에서의 인증/인가 | 쿠키, 세션, 토큰, JWT #21