[CS/Network] 세션(Session) & JWT

 

 

Network

---

🌐 Authentication & Authorization

Authentication은 인증이라는 뜻으로 특정 서비스에 일정 권한이 주어진 사용자임을 ID, password로 인증받는다는 것을 의미한다. 간단히 말하자면 로그인이다. Authorization은 인가라는 뜻으로 로그인을 통해 한번 인증을 받은 사용자가 이후 서비스의 여러 기능들을 사용할 때 로그인되어 있음을 확인받고 사용허가를 해준다. 즉, 로그인된 상태를 유지시켜주는 것이 인가이다.

---

🌐 세션(Session)

사용자가 로그인에 성공하게 되면 서버가 '세션 표딱지'라는 것을 출력해 세션 표딱지의 반은 사용자의 브라우저로 전송하고 반은 서버의 메모리나 하드디스크,데이터베이스에 저장한다. 사용자의 브라우저로 간 세션 표딱지의 절반은 Session ID라는 이름의 쿠키로 저장이 되고 사용자로부터 요청이 들어올 때마다 서버에게 이 Session ID를 실어보낸다. 서버는 받은 Session ID와 아까 저장해둔 남은 세션 표딱지의 반이 일치하는 게 있으면 인가를 해준다.

이처럼 Session ID로 사용자가 서버에 로그인되어있음이 지속되는 상태를 Session이라고 부른다.

 

세션의 단점 

- 사용자가 동시에 많이 접속하면 메모리가 부족해짐

- 서버 재부팅시 메모리의 데이터가 날아감

- 데이터를 하드나 데이터베이스에 넣으면 속도가 느려짐

- 서버가 여러대일 때 로드바란싱(요청을 여러 서버에 분산)으로 인해 세션 유지가 안됨

---

🌐 JWT (JSON Web Token)

JWT는 일종의 확인서로 우리가 어떤 웹사이트에 로그인을 해서 성공적으로 인증이 이루어지면 서버는 사인된 확인서(JWT)를 우리에게 제공한다. 그러면 앞으로 요청 때마다 JWT를 서버에게 같이 보여주면서 권한을 확인받는 것이다. 서버는 JWT만 확인해 인가하기 때문에 세션 DB에 저장할 필요가 없다. 

 

JWT는 인코딩 또는 암호화된 3가지 데이터를 .(dot)으로 구분해 이어붙인 형태로 되어 있다.

그 3가지 데이터는 다음과 같다.

• header : 헤더의 데이터를 디코딩하면 2가지 정보를 얻을 수 있는데 하나는 type으로 JWT의 경우 항상 이 값은 JWT이다. 다른 하나는 alg로 signature 값을 만드는 데 사용될 암호화 알고리즘(ex. HS256)을 의미한다. 이 암호화 알고리즘은 한 방향으로만 계산될 수 있다.
• payload : 페이로드의 데이터를 Base64로 디코딩하면 JSON 형태로 된 정보를 얻을 수 있다. 그 내용에는 누가 누구에게 발급했는지, 토큰의 유효기간, 서비스가 공개하길 원하는 내용 등이 담겨져 있다.
• signature : header + payload + 서버에 감춰놓은 비밀 키를 합해 헤더에 저장된 암호화 알고리즘을 이용해 암호화한 값이다. 

=> 비밀키를 이용하여 계산한 값이 서명값과 같고, 토큰의 유효기간이 지나지 않았다면 인가를 내준다.

토큰을 이용하여 서버는 사용자의 상태를 따로 기억해둘 필요 없이 비밀키만 알면 요청이 들어올 떄마다 토큰으로 사용자를 판별할 수 있다.

---

🌐 Acess Token & Refresh Token

acess token은 매번 인가받을 때 쓰는 수명 짧은 토큰으로, 수명이 다하면 refresh token을 서버에게 보내 DB에 저장된 값과 일치하면 새 acess token을 발급해준다. 이 acess token은 탈취 당해도 금방 만료된다는 장점이 있다.

refresh token은 access token을 재발급받을 때 쓰는 수명이 긴 token으로 클라이언트에게 보내고 나서 상응값을 DB에도 저장하며, DB에서 이 token이 지워져도 살아있는 acess toekn이 있어 즉각적인 피해는 없다. 이 두 토큰을 이용한 방법은 잠깐의 피해는 막을 수 있지만 완전히 안전한 방법은 아니다.

---

🔗참고

https://youtu.be/1QiOXWEbqYQ

https://velog.io/@gotaek/세션Session과-JWT