[Spring Security] 토큰 기반 인증이란?흐름, 특징 정리

JWT 공부 전에 사전 지식으로 토큰기반 인증을 알아야함

 

 

서버 기반 인증 & 토큰 기반 인증

 

사용자가 서버에 접근할 때,

인증된 사람인지 아닌지 확인하는 방법들 중 하나

​

스프링 시큐리티에서는 기본적으로 세션 기반 인증 제공.

​

나는 지난 챕터에서

기본적으로 제공해주는 세션 기반 인증 써서

사용자 정보 담은 세션 생성 & 저장해서 인증했음

(= 세션 기반 인증)

(따로 직접적으로 명시 안해도 알아서 스프링 시큐리티에서 해줌)

​

토큰 기반 인증은, 토큰을 사용하는것임

​

토큰은 unique한 값으로, 서버에서 클라이언트를 구분하기 위해 씀

서버가 토큰 만들어서 클라이언트한테 주고,

클라이언트는 이 토큰 갖고 있다가

서버한테 요청할 일 있을 때 토큰이랑 같이 신청함.

-> 서버는 토큰만 보고 유효한 사람인지 아닌지 판단함

 

 

 

---

토큰 전달, 인증받는 과정

 

1. 클라이언트 -> 서버 : 로그인 요청

(아이디, 비번을 전달하면서 요청)

​

2. 서버는 토큰을 생성

(해당 아이디, 비번 보고 유효한 사용자인지 검증 후 생성)

​

3. 만든 토큰을 클라이언트한테 응답으로 줌

​

4. 클라이언트는 토큰을 저장

​

5. 추후 다른 요청을 보낼 때, 해당 토큰 정보랑 같이 요청 보냄

(인증이 필요한 API 사용할 때)

​

6. 서버는 해당 토큰 검증

​

7. 서버 -> 클라이언트 : 그에 맞는 응답

 

 

 

토큰 기반 인증의 특징
무상태성, 확장성, 무결성

 

 

1. 무상태성

사용자 인증 정보가 담긴 토큰은, 클라이언트에 있음.

= 서버는 저장할 필요X

​

클라이언트에서는 사용자 인증 상태 유지하면서

이후 요청들을 처리해야되는데

이게 상태관리임.

​

서버 입장에서는 아무것도 기억하지 않고,

오로지 받은 토큰 검증만!!함

​

= 완전한 무상태로, 효율적인 검증 가능

​

2. 확장성

1번 무상태성에서, 상태 관리는 클라이언트가 한다고 했음.

서버는 신경쓸게 없으니까 서버 확장에 용이함.

​

ex. 물건 파는 서비스에서

결제를 위한 서버, 주문을 위한 서버

이렇게 있다고 가정.

​

세션 기반 인증은 각각 API에서 인증

but 토큰 기반 인증에서는 토큰 갖는 주체가 클라이언트라서

하나의 토큰으로 두개의 서버에 요청 보내기 가능함

​

+ 페이스북, 구글 로그인 같이 토큰 기반 인증 쓰는

다른 시스템에도 접근해서 로그인 방식 확장 가능함.

​

3. 무결성

토큰 방식은 HMAC(hash-based message authentication)기법이라고도 부름

토큰 발급 이후에, 토큰 정보 변경 못함.

= 토큰의 무결성이 보장되는것

​

누가 토큰 한글자라도 바꾸면 서버에서 인증 안해줌