토큰 기반 인증이란?

토큰 기반 인증이란?

토큰 기반 인증은 토큰을 확인하여 ID를 확인하는 프로세스입니다.액세스 관리에서 서버는 토큰 인증을 사용하여 사용자, API, 컴퓨터, 다른 서버의 ID를 확인합니다.

토큰은 신뢰할 수 있는 출처에서 발급한 상징적인 품목입니다. 법 집행 요원이 소속 기관에서 발급한, 권한을 합법화해주는 배지를 휴대하는 것을 생각해 보세요. 토큰은 물리적(USB 하드 키와 같은) 또는 디지털(컴퓨터 생성 메시지 또는 디지털 서명) 형태일 수 있습니다.

토큰 기반 인증은 다음과 같은 몇 가지 다른 프로세스를 참조할 수 있습니다.

1. 물리적 토큰을 통한 ID 확인.이는 로그인에 널리 사용되는 인증 요소입니다. 사용자는 계정이나 장치에 로그인할 때 토큰을 제시해야 합니다.(인증 요소는 인증이란?에서 더 자세히 설명합니다.)
2. 웹 토큰을 통한 ID 재확인.웹 토큰은 순수하게 디지털입니다.웹 토큰은 서버에서 생성되어 클라이언트에게 전송됩니다.토큰이 각 클라이언트 요청에 첨부되므로 서버가 클라이언트의 ID를 알고 클라이언트가 액세스할 수 있는 데이터를 알 수 있습니다.이러한 유형의 토큰 기반 인증은 동일한 작업을 수행하는 유사한 방법인 쿠키 기반 인증과 대조적입니다. 아래에서 자세히 알아보세요.

물리적 토큰을 통한 인증은 어떻게 작동할까요?

물리적 토큰을 통한 인증은 일반적으로 사용자 로그인 프로세스 중에 발생합니다. 사용자는 다른 사람은 아무도 가지고 있지 않은 품목을 소유하고 있음을 증명해야 합니다. 품목에 표시된 코드를 입력하거나 USB를 통해 품목을 장치에 연결하거나 블루투스를 통해 품목을 연결하는 등 여러 방법을 통해 이를 증명할 수 있습니다. 비밀번호를 입력하면 다른 사람이 가지고 있지 않은 지식을 사용자가 소유하고 있음을 증명하는 것과 마찬가지로 토큰을 사용하면 해당 사용자에게만 해당 품목이 있음을 증명할 수 있습니다.

이 유형의 인증에 사용되는 토큰에는 소프트 토큰과 하드 토큰의 두 가지 종류가 있습니다.

• 소프트 토큰에는 장치 소유를 증명하기 위해 해당 장치로 전송되는 비밀 코드나 메시지를 입력하는 것이 포함됩니다.이것은 문자 메시지를 통해 스마트폰으로 전송되는 코드의 형태를 취하는 경우가 많습니다.
• 하드 토큰은 사용자가 로그인하기 위해 컴퓨터나 모바일 장치에 직접 연결하는 하드웨어 품목입니다.

웹 토큰을 통한 인증은 어떻게 작동할까요?

웹 토큰은 물리적 품목이 아니라 디지털입니다. 웹 토큰은 서버에서 클라이언트로 보내는 메시지이며, 클라이언트가 임시로 저장합니다. 클라이언트는 서버로 보내는 후속 요청에 토큰 사본을 포함하여 클라이언트의 인증 상태를 확인합니다.

물리적 토큰 인증은 로그인 과정에서 ID를 확인하는 반면, 웹 토큰은 로그인 성공의 결과로 발급됩니다. 둘은 로그인한 세션을 활성 상태로 유지합니다.

그러나 사용자 세션에 웹 토큰을 사용하는 것이 항상 이상적인 것은 아닙니다. 많은 개발자들이 대신 쿠키를 사용하는 것을 지지합니다. 웹 토큰은 API 엔드포인트 인증에 사용하거나 서버와 클라이언트 간의 연결이 아니라 서버 간의 연결을 확인하는 데 더 잘 사용할 수 있습니다.

JSON 웹 토큰(JWT)이란?

웹 개발의 경우 "웹 토큰"은 거의 언제나 JSON 웹 토큰을 말합니다. JSON 웹 토큰(JWT)은 JSON(JavaScript Object Notation) 데이터를 포함하는 디지털 서명된 웹 토큰을 생성하기 위한 표준입니다. 서버는 클라이언트의 ID를 증명하는 토큰을 생성하여 클라이언트에게 보냅니다. JWT는 디지털 서명을 사용하여 토큰이 합법적임을 증명합니다.

JWT에는 다음과 같은 세 가지 구성 요소가 포함됩니다.

• 헤더: 헤더는 JWT에 대한 정보를 제공합니다. JWT가 어떤 종류의 토큰인지, 그리고 디지털 서명에 어떤 방법이 사용되었는지에 관한 정보입니다.
• 페이로드: 어떠한 JSON 데이터도 여기에 올 수 있습니다.인증을 위한 JWT 페이로드에는 페이로드의 사용자 ID에 대한 클레임이 포함됩니다.여기에는 사용자, 서버, API 엔드포인트의 권한에 대한 정보도 포함될 수 있습니다.
• 디지털 서명: 디지털 서명은 암호화를 사용하여 포함된 데이터가 합법적인지 확인하기 위해 키로 헤더와 페이로드에 서명합니다.디지털 서명을 의약품 용기의 변조 방지 봉인으로 생각하면 이해하기 쉽습니다.

토큰 기반(JWT) 인증과 쿠키 기반 인증의 비교

JWT는 때로는 사용자가 웹 애플리케이션에 로그인한 후 인증을 유지하는 데 사용되기도 합니다. 그러나 쿠키도 이러한 목적으로 사용될 수 있습니다.

쿠키는 작은 데이터 파일로, 서버에서 클라이언트로보냅니다. 사용자가 웹 애플리케이션에 로그인하면 서버에서 쿠키를 생성하여 클라이언트 장치(일반적으로 사용자의 컴퓨터 또는 스마트폰)로 보냅니다. 클라이언트 장치에서는 브라우저의 캐시 에 쿠키를 저장하고 JWT를 사용하는 방식과 유사하게 서버에 대한 향후 요청에 쿠키 사본을 포함합니다. 사용자가 로그아웃하면 브라우저는 쿠키를 삭제합니다.

쿠키는 JWT에 비해 파일 크기가 훨씬 작습니다. JWT에는 페이로드 외에 헤더와 디지털 서명이 포함되어 있기 때문입니다.이와는 대조적으로, 쿠키에는 페이로드만 포함됩니다.따라서 웹 성능과 대역폭 면에서 훨씬 더 효율적입니다.

• 웹 성능: 쿠키는 정보가 적기 때문에 더 빨리 로드됩니다. 사진을 동영상보다 더 빨리 다운로드할 수 있는 이유를 생각해 보세요.
• 대역폭: 쿠키는 더 작기 때문에 클라이언트와 서버 간의 네트워크를 통해 전달되는 데이터의 총량이 줄어듭니다.따라서 웹 애플리케이션 운영자가 JWT에 비해 비용을 절감할 수 있습니다.

JWT에는 콘텐츠가 변조되지 않았음을 보장하는 디지털 서명이 포함되기 때문에 성능에 최적화되어 있지 않습니다.그러나 웹 애플리케이션이 HTTPS를 사용하는 경우(당연한 일이지만) 쿠키는 어떻게든 변조되는 것을 방지해야 합니다.HTTPS는 클라이언트와 서버 간에 교환되는 다른 모든 HTTP 데이터와 함께 쿠키를 암호화하고 서명하며, 공격자는 경로상 공격을 수행하지 않는 한 전송 중에 쿠키를 위조하거나 가로챌 수 없습니다.

JWT는 API 및 서버 간 연결에 더 적합합니다.그러한 용도는 크게 확장할 필요가 없습니다. 웹 애플리케이션은 백만 명의 사용자를 확보할 수 있지만, 백만 개의 API 연결을 갖지는 않습니다.따라서 성능과 대역폭에 대한 잠재적인 영향이 줄어듭니다.그러나 상호 TLS와 같은 다른 인증 방법이 때로는 API에 더 효율적입니다. 상호 TLS에 대해 자세히 알아보세요.