S3) Unit 7. [Backend] Hashing / Token / OAuth

Notice

Recent Posts

Recent Comments

Link

« 2024/12 »
일	월	화	수	목	금	토
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30	31

Tags more

Archives

Today

Total

관리 메뉴

Jieunny의 블로그

S3) Unit 7. [Backend] Hashing / Token / OAuth 본문

CodeStates/learning contents

S3) Unit 7. [Backend] Hashing / Token / OAuth

Jieunny 2023. 3. 8. 11:00

📣 해싱(Hashing)

✔️ 복호화가 불가능한 암호화 방법

➰ 해시 함수를 이용해 암호화를 진행한다.

➰ 해시 함수

﹒ 항상 같은 길이의 문자열을 리턴한다.

﹒ 서로 다른 문자열에 동일한 해시 함수를 사용하면 반드시 다른 결과값이 나온다.

﹒ 동일한 문자열에 동일한 해시 함수를 사용하면 항상 같은 결과값이 나온다.

📣 레인보우 테이블과 솔트(Salt)

✔️ 레인보우 테이블 : 항상 같은 결과값이 나온다는 특성을 이용해 해시 함수를 거치기 이전의 값을 알아낼 수 있도록 기록한 표

➰ 이 값이 유출되었을 때 해싱을 했더라도 이전 값을 알아낼 수 있으므로 보안상 위협이 될 수 있다.

✔️ 솔트 : 해싱 이전 값에 임의의 값을 더해 데이터가 유출 되더라도 해싱 이전의 값을 알아내기 어렵게 만드는 방법

➰ 해싱 값이 유출되더라도, 솔트가 함께 유출된 것이 아니면 암호화 이전의 값으르 알아내는 것은 불가능에 가깝다.

📣 해싱의 목적

✔️ 데이터를 사용할 목적이 아닌, 동일한 값의 데이터를 사용하고 있는지 여부만 확인하는 것

➰ 사이트 관리자는 사용자의 비밀번호를 알고 있을 필요 없이, 해싱된 값만 저장한다.

➰ 해싱 값끼리 비교해서 일치하는 지 확인하면 되기 때문에 해싱 값만으로도 요청을 처리하는데에 문제가 없다.

=> '민감한 데이터를 다루어야 하는 상황에서 데이터 유출의 위험성은 줄이면서 데이터의 유효성을 검증하기 위해 사용되는 단방향 암호화 방식'

📣 Token

✔️ 토큰 기반 인증을 왜 사용할까?

➰ 세션기반 인증은 서버에 유저 정보를 담는 방식으로, 이 부담을 클라이언트에게 넘겨줄 순 없을까? 라는 생각에서 등장했다.

✔️ 토큰 : 유저 정보를 암호화한 상태로 담을 수 있고, 암호화했기 때문에 클라이언트에 담을 수 있다.

➰ JWT(JSON Web Token) : 가장 많이 사용하는 토큰

📣 JWT 구조

1️⃣ Header

✔️ 어떤 종류의 토큰인지, 어떤 알고리즘으로 암호화할지가 적혀있다.

{
    "alg": "HS256",
    "typ": "JWT"
}

➰ JSON 형태로 정보가 담겨있는데, 이 객체를 base64 방식으로 인코딩하면 Header가 완성된다.

➰ base64 방식은 얼마든지 디코딩 할 수 있으므로 노출되어서는 안되는 정보를 담지 않도록 한다.

2️⃣ Payload

✔️ 서버에서 활용할 수 있는 유저의 정보가 담겨 있다.

➰ 권한, 유저의 이름과 같은 개인정보 등의 정보를 담을 수 있다.

➰ Signature를 통해 유효성이 검증 될 정보긴 하지만, 인코딩 될 것이기 때문에 민감한 정보는 담지 않도록 한다.

{
    "sub": "someInformation",
    "name": "phillip",
    "iat": 151623391
}

3️⃣ Signature

✔️ Header와 Payload가 완성되면, Signature는 이를 서버의 비밀 키(암호화에 추가할 salt)와 Header에서 지정한 알고리즘을 사용해서 해싱한다.

HMACSHA256(base64UrlEncode(header) + '.' + baase64UrlEncode(payload), secret);
// HMAC SHA256 알고리즘을 사용해서 Signature 생성

➰ 누군가 토큰의 Payload를 변조하는 등의 시도를 하더라도 토큰을 발급할 때 사용한 secret을 알지 못한다면 유효한 Signature를 만들어낼 수 없기 때문에 서버는 이 단계에서 올바르지 않는 토큰임을 알 수 있다.

📣 JWT의 종류

1️⃣ 액세스 토큰

✔️ 보호된 정보들에 접근할 수 있는 권한 부여에 사용하는 토큰

2️⃣ 리프레시 토큰

✔️ 액세스 토큰을 재발급 받을 때 사용하는 토큰

➰ 클라이언트가 처음 인증을 받을 때(로그인 시) 두 가지 모두 받지만, 실제로 권한을 얻는 데 사용하는 토큰은 액세스 토큰이다. 이 토큰의 유효기간이 만료된다면 리프레시 토큰을 이용해 재발급 받는다. 이때 유저는 다시 로그인 할 필요가 없다.

➰ 액세스 토큰에는 비교적 짧은 유효기간을 줘서 탈취하더라도 오래 사용할 수 없도록 하는 것이 좋다.

➰ 유효기간이 긴 리프레시 토큰은 탈취당하면 피해가 크기 때문에 보안이 중요한 웹사이트에서는 리프레시 토큰을 사용하지 않는 곳도 많다.

📣 토큰기반 인증 절차

1. 클라이언트가 서버에 아이디/ 비밀번호를 담아 로그인 요청을 보낸다.

2. 아이디/비밀번호 일치 여부를 확인하고 클라이언트에게 보낼 암호화된 토큰을 생성한다.

➰ 액세스 토큰, 리프레시 토큰 모두 생성

3. 서버가 토큰을 클라이언트에게 보내주면, 클라이언트는 토큰을 저장한다.

4. 클라이언트가 HTTP헤더 또는 쿠키에 토큰을 담아 보낸다.

5. 서버는 토큰을 검증하여 자신이 발급해준 토큰일 경우, 클라이언트의 요청을 처리한 후 응답을 보내준다.

➰ 서버는 토큰을 검증할 때, 토큰에 담긴 Header와 Payload를 서버의 secret으로 암호화한 값이 토큰의 Signature와 일치하는지 확안한다.

📣 토큰기반 인증의 장점

1. Statelessness & Scalability(무상태성 & 확장성)

➰ 서버는 클라이언트에 대한 정보를 저장할 필요가 없다(토큰이 해독되는지만 판단하면 된다)

➰ 클라이언트는 새로운 요청을 보낼때마다 토큰을 같이 보내면 된다.

2. 안전하다

➰ 암호화 된 토큰을 사용하고, 암호화 키를 노출 할 필요가 없기 때문이다.

3. 어디서나 생성 가능하다.

➰ 토큰을 확인하는 서버가 토큰을 만들지 않아도 된다.

4. 권한 부여에 용이하다.

➰ 토큰의 Payload에 어떤 정보에 접근 가능한 지 정할 수 있다.

📣 OAuth 란?

✔️ 인증을 중개해주는 메커니즘

➰ 보안된 리소스에 액세스하기 위해 클라이언트에게 권한을 제공하는 프로세스를 단순화하는 프로토콜

➰ 사용자 정보를 가지고 있는 웹 서비스에서 사용자의 인증을 대신해주고, 접근 권한에 대한 토큰을 발급한 후, 이를 이용해 내 서버에서 인증이 가능해진다.

📣 OAuth 는 언제, 왜 쓸까요?

✔️ OAuth를 활용한다면 자주 사용하고 중요한 서비스들의 아이디와 패스워드만 기억해 놓고 해당 서비들을 통해서 외부 서비스 소셜 로그인을 할 수 있다.

➰ ex) 카카오톡으로 로그인, 네이버로 로그인

✔️ 보안상의 이점이 있다.

➰ 검증되지 않은 앱에서 OAuth를 사용해서 로그인한다면, 유저의 민감한 정보가 직접 앱에 노출될 일이 없고 인증 권한에 대한 허가를 미리 유저에게 구해야 하기 때문에 더 안전하다.

📣 OAuth 에서 꼭 알아야 할 용어

1. Resource Owner : 사용자이며 정보 제공자이기도 하기 때문에 Resource Owner라고 한다.

2. Client: Resource Owner를 대신하여 보호된 리소스에 액세스하는 애플리케이션

3. Local Server: Client의 요청을 수락하고 응답할 수 있는 서버

4. Resource Server: 사용자의 정보를 저장하고 있는 서버

5. Authorization Server: 인증을 담당하고 있는 서버로, Access Token을 발급하는 인증 서버

6. Authorization Grant: Client가 Access Token을 얻는 방법을 의미

﹒Authorization Code Grant Type

﹒Refresh Token Grant Type

7. Authorization Code: Authorization Grant의 한 타입으로 Access Token을 발급받기 위한 Code를 의합니다.

8. Access Token: 보호된 리소스에 액세스하는 데 사용되는 인증 토큰으로, 이 Access Token으로 Resource Server에 접근할 수 있다.

9. Refresh Token: 발급받은 Access Token이 만료될 시 Refresh Token을 통해 새로운 Access Token을 받급받을 수 있다.

📣 OAuth 인증 흐름

1️⃣ Authorization Code Grant Type

✔️ Authorization Code를 받아 Authorization Code를 통해 Access Token을 받는 방식을 말한다.

➰ 로그인에 성공했다고 바로 토큰을 발급해 주는 것이 아니라 Authorization Code를 통해 검증하는 단계가 추가로 있어 더 안전한다.

2️⃣ Refresh Token Grant Type

✔️ Authorization Code Grant Type 으로 Access Token을 발급받은 후, Access Token이 만료된 경우 Refresh Token을 활용해 새로운 Access Token을 발급받는 데 사용된다.

➰ 사용자는 추가 상호 작용 없이 계속 유효한 액세스 토큰을 가질 수 있다.

저작자표시

'CodeStates > learning contents' 카테고리의 다른 글

S4) Unit 1. [자료구조/ 알고리즘] 자료구조 & Stack & Queue (2)	2023.03.14
Section 3. [기술 면접] (0)	2023.03.13
S3) Unit 7. [Backend] Cookie / Session (0)	2023.03.07
S3) Unit 6. [네트워크] HTTP & HTTPS (0)	2023.03.06
S3) Unit 6. [네트워크] TCP/IP & 네트워크 계층 모델 (0)	2023.03.06

'CodeStates/learning contents' Related Articles

Jieunny의 블로그

S3) Unit 7. [Backend] Hashing / Token / OAuth 본문

S3) Unit 7. [Backend] Hashing / Token / OAuth

📣 해싱(Hashing)

📣 레인보우 테이블과 솔트(Salt)

📣 해싱의 목적

📣 Token

📣 JWT 구조

📣 JWT의 종류

📣 토큰기반 인증 절차

📣 토큰기반 인증의 장점

📣 OAuth 란?

📣 OAuth 는 언제, 왜 쓸까요?

📣 OAuth 에서 꼭 알아야 할 용어

📣 OAuth 인증 흐름

'CodeStates > learning contents' 카테고리의 다른 글

티스토리툴바