Spirng Security - JWT와 OAuth2 기초
| 0.자격 증명 방식 |
먼저, JWT에 대해 배우기 전에 2가지 자격 증명 방식에 대한 차이를 짚고 넘어가야 함
HTTP 프로토콜은 request를 전송한 후, response를 수신하게 되면 연결을 끊는 비 연결성(Connectionless)의 특성을 가지고 있고 또한 request와 response에 대한 상태를 저장하지 않는 비 상태성(Stateless)의 특성이 있음
위의 두 특성 때문에 로그인 인증이 성공적으로 수행되었다 하더라도 서버 측에서는 매번 request를 수신할 때마다 이 request가 인증된 사용자가 보낸 request인지 알 방법이 없으므로 사용자의 인증이 성공적으로 이루어졌을 때, 인증된 사용자 request의 상태를 유지하기 위한 수단이 필요함(대표적인 수단이 세션과 토큰)
0-1.세션 기반 자격 증명 방식
-서버 측에 인증된 사용자의 정보를 세션 형태로 세션 저장소에 저장하는 방식
-세션 기반 자격 증명의 특징
- 인증된 사용자 정보를 서버 측 세션 저장소에서 관리함
- 생성된 사용자 세션의 고유 ID인 세션 ID는 클라이언트의 쿠키에 저장되어 request 전송 시, 인증된 사용자인지를 증명하는 수단으로 사용됨
- 세션 ID만 클라이언트 쪽에서 사용하므로 상대적으로 적은 네트워크 트래픽을 사용함
- 서버 측에서 세션 정보를 관리하므로 보안성 측면에서 조금 더 유리함
- 서버의 확장성 면에서는 세션 불일치 문제가 발생할 가능성이 높음
- 세션 데이터가 많아질수록 서버의 부담이 가중될 수 있음
- SSR(Server Side Rendering) 방식의 애플리케이션에 적합한 방식
0-2.토큰 기반 자격 증명 방식
-인증된 사용자의 정보를 토큰에 저장하고, 접근 권한을 부여해 접근 권한이 부여된 특정 리소스에만 접근할 수 있게 하는 방식
-토큰 기반 자격 증명의 특징
- 토큰에 포함된 인증된 사용자 정보는 서버 측에서 별도의 관리를 하지 않음
- 생성된 토큰을 헤더에 포함해 request 전송 시, 인증된 사용자인지를 증명하는 수단으로 사용됨
- 토큰 내에 인증된 사용자 정보 등을 포함하고 있으므로 세션에 비해 상대적으로 많은 네트워크 트래픽을 사용함
- 기본적으로 서버 측에서 토큰을 관리하지 않으므로 보안성 측면에서 조금 더 불리함
- 인증된 사용자 request의 상태를 유지할 필요가 없기 때문에 서버의 확장성 면에서 유리하고, 세션 불일치 같은 문제가 발생하지 않음
- 토큰에 포함되는 사용자 정보는 토큰의 특성상 암호화가 되지 않기 때문에 공격자에게 토큰이 탈취될 경우, 사용자 정보를 그대로 제공하는 셈이 되므로 민감한 정보는 토큰에 포함하지 말아야 함
- 기본적으로 토큰이 만료되기 전까지는 토큰을 무효화시킬 수 없음
- CSR(Client Side Rendering) 방식의 애플리케이션에 적합한 방식
| 1.JWT(JSON Web Token) 기초 |
-데이터를 안전하고 간결하게 전송하기 위해 고안된 인터넷 표준 인증 방식
-토큰 인증 방식에서 가장 범용적으로 사용됨
-JSON 포맷의 토큰 정보를 인코딩 후, 인코딩된 토큰 정보를 Secret Key로 서명(Sign)한 메시지를 Web Token으로써 인증 과정에 사용
-JWT의 종류
● Access Token : 보호된 정보들(사용자의 이메일, 연락처, 사진 등)에 접근할 수 있는 권한 부여에 사용
● Refresh Token : Access Token의 유효기간이 만료되었을 때 사용하여 새로운 Access Token을 발급받음
-JWT의 구조
● Header : 해당 토큰이 어떤 종류의 토큰인지, 어떤 알고리즘으로 Sign할지를 정의한 JSON 객체를 base64 방식으로 인코딩하여 정의함
● Payload : 서버에서 활용할 수 있는 사용자의 정보를 담은 JSON 객체를 base64 방식으로 인코딩하여 정의함
● Signature : 원하는 비밀 키(Secret Key)와 Header에서 지정한 알고리즘을 사용하여 Header와 Payload에 대해서 단방향 암호화를 수행함
1-1.JWT의 장점과 단점
-JWT를 통한 인증의 장점
● 상태를 유지하지 않고(Stateless), 확장에 용이한(Scalable) 애플리케이션을 구현하기 용이함
○ 서버는 토큰이 정상적으로 검증되는지만 판단하므로, 서버는 클라이언트에 대한 정보를 저장할 필요가 없음
○ 클라이언트는 request를 전송할 때마다 토큰을 헤더에 포함시키면 됨
● 클라이언트가 request를 전송할 때마다 자격 증명 정보를 전송할 필요가 없음
○ 한 번의 인증만 수행하면 토큰이 만료되기 전까지 유효함
● 인증을 담당하는 시스템을 다른 플랫폼으로 분리하는 것이 용이함
○ 사용자의 자격 증명 정보를 직접 관리하지 않고, Google 등 다른 플랫폼의 자격 증명 정보로 인증하는 것이 가능함
○ 토큰 생성용 서버를 만들거나, 다른 회사에서 토큰 관련 작업을 맡기는 등 다양한 활용이 가능함
● 권한 부여에 용이함
○ 토큰의 Payload 안에 해당 사용자의 권한 정보를 포함하는 것이 용이함
-JWT를 통한 인증의 단점
● Payload는 디코딩이 용이함
○ Payload는 base64로 인코딩되기 때문에 토큰을 탈취하여 Payload를 디코딩하면 토큰 생성 시 저장한 데이터를 손쉽게 확인할 수 있으므로 Payload에는 민감한 정보를 포함하지 않아야함
● 토큰의 길이가 길어지면 네트워크에 부하를 줄 수 있음
● 토큰은 자동으로 삭제되지 않음
○ 토큰은 자동으로 삭제되지 않으므로 반드시 토큰 만료 시간을 지정해야 하며, 토큰이 탈취될 경우를 대비해서 토큰 만료 시간을 너무 길게 설정하지 않는 것이 바람직함
| 2.OAuth2 기초 |
-전통적으로 서비스를 이용하는 사용자에 대한 인증 처리는 서비스를 제공하는 애플리케이션에서 해당 서비스를 이용하는 사용자의 크리덴셜(Credential)을 직접적으로 관리하는 것이 일반적임
-OAuth2 는 특정 애플리케이션(Client)에서 사용자의 인증을 직접 처리하는 것이 아니라 사용자 정보를 보유하고 있는 신뢰할 만한 써드 파티 애플리케이션(GitHub, Google, Facebook 등)에서 사용자의 인증을 대신 처리해 주고 Resource에 대한 자격 증명용 토큰을 발급한 후, Client가 해당 토큰을 이용해 써드 파티 애플리케이션의 서비스를 사용하게 해주는 방식
-위의 그림의 경우, 로그인 자체는 구글 로그인 인증을 이용하고, 구글 로그인에 성공하면 Access Token을 전달받아서 Google Calendar API를 사용하기 위해 Access Token을 이용함
-일정 관리 서비스 애플리케이션에 구글의 크리덴셜(Credential)이 직접적으로 제공되지 않기 때문에 일정 관리 서비스 애플리케이션에서 사용하는 크리덴셜(Credential) 저장소에 저장될 필요가 없으므로 사용자의 크리덴셜(Credential)을 직접 관리하지 않아도 되며, 그만큼 보안성도 향상됨
-OAuth2 를 사용하는 애플리케이션 유형
- 써드 파티 애플리케이션에서 제공하는 API를 직접적으로 사용
- 추가적인 인증 서비스를 제공하기 위한 용도
2-1.OAuth2 의 동작 방식
1. OAuth2 인증 컴포넌트들의 역할
● Resource Owner
○ Resource Owner는 사용하고자 하는 Resource의 소유자를 의미함
○ hunm719라는 사용자가 구글 계정으로 로그인해서 Google의 서비스(Resource)를 이용하고 있다면 hunm719가 Google 서비스라는 Resource에 대한 Resource Owner임
● Client
○ Resource Owner를 대신해 보호된 Resource에 액세스하는 애플리케이션
○ hunm719라는 사용자가 A라는 애플리케이션을 통해서 Google의 소셜 로그인을 이용한다면 애플리케이션 A가 Client임
○ 항상 Client와 Server에 대한 기준을 잡기위해서는 서비스를 제공하는 쪽을 기준으로 생각해야 함
● Resource Server
○ Client의 요청을 수락하고 Resource Owner에게 해당하는 Resource를 제공하는 서버
○ A라는 애플리케이션(Client)이 Google Photo에서 hunm719라는 Resource Owner의 사진(Resource)을 가져오는 경우, Google Photo 서비스를 제공하는 애플리케이션이 Resource Server임
● Authorization Server
○ Client가 Resource Server에 접근할 수 있는 권한을 부여하는 서버
○ Resource Owner가 인증에 성공하면 Authorization Server 는 Client에게 Access Token 형태로 Resource Owner의 Resource에 접근할 수 있는 권한을 부여함
○ hunm719라는 사용자(Resource Owner)가 구글 로그인 인증에 성공하면 A라는 애플리케이션(Client)이 Authorization Server 로부터 Google Photo에 저장되어 있는 hunm719의 사진(Resource)에 접근할 수 있는 권한(Access Token)을 부여받음
2-2.OAuth2 의 인증 처리 흐름
-위 그림의 인증 처리 흐름은 아래와 같음
- (1) Resource Owner는 Client 역할을 하는 웹 애플리케이션에게 OAuth2 인증을 요청함. 여기에서 인증 요청은 Resource Owner는 자신의 계정 정보를 관리하고 있는 써드 파티 애플리케이션에 로그인 하길 원하는 것이며, 이 요청을 Client인 웹 애플리케이션에 전송하는 것
- (2) Client는 Resource Owner가 Resource Owner의 계정 정보를 관리하고 있는 써드 파티 애플리케이션에 로그인 할 수 있도록 써드 파티 애플리케이션의 로그인 페이지로 리다이렉트(Redirect)함
- (3) Resource Owner는 로그인 인증을 진행하고 로그인 인증에 성공하면,
- (4) Authorization Server가 Resource Owner의 로그인 인증이 성공적으로 수행되었음을 증명하는 Access Token을 Client에게 전송함. Resource Owner에게 Access Token을 전송하는 것이 아니라 Client 애플리케이션에게 전송하는 것을 다시 한 번 강조함
- (5) Access Token을 전달받은 Client는 이제 Resource Owner의 대리인 역할을 수행할 수 있게 되었으므로, Resource Server에게 Resource Owner 소유의 Resource를 요청함
- (6) Resource Server는 Client가 전송한 Access Token을 검증해서 Client가 Resource Owner의 대리인으로서의 자격이 증명되면 Resource Owner의 Resource를 Client에게 전송함
- 핵심은 어떤 Resource를 소유하고 있는 Resource Owner를 대신하는 누군가(Client)가 Resource Owner의 대리인 역할을 수행한다는 것
2-3.OAuth2 인증 프로토콜에서 사용되는 용어
● Authorization Grant
○ Client 애플리케이션이 Access Token을 얻기 위한 Resource Owner의 권한을 표현하는 Credential을 의미함
○ 한마디로 Client가 Access Token을 얻기 위한 수단으로, 아래의 네 가지 타입이 있음
◎ Authorization Code : 권한 부여 승인 코드 방식
◎ Implicit Grant Type : 암묵적 승인 방식
◎ Client Credentials : 클라이언트 자격 증명 승인 방식
◎ Resource Owner Password Credentials : 자원 소유자 자격 증명 승인 방식
● Access Token
○ Client가 Resource Server에 있는 보호된 Resource에 액세스하기 위해 사용하는 자격 증명용 토큰
● Scope
○ 주어진 액세스 토큰을 사용하여 액세스할 수 있는 Resource의 범위
○ 예를 들어 Scope 설정을 통해 해당 Resource Owner의 사진첩에는 접근할 수 있지만, 연락처 등 다른 Resource에는 접근할 수 없도록 접근 권한을 지정할 수 있음
-이미지 및 내용 출처 : code states