http 프로토콜 환경은 Connectionless, stateless 한 특성을 가지기 때문에
서버는 클라이언트가 누구인지 매번 확인해야 합니다.
이러한 특성을 보완하기 위해서 쿠키와 세션을 사용하게 됩니다.
1. Connectionless
- 클라이언트가 요청을 보내고 응답을 받으면 그 연결을 끊어 버리는 특징
- 즉, http는 클라이언트가 request를 서버에 보내면, 서버는 클라이언트에게 요청에 맞는 response를 보내고 접속을 끊는다.
2. Stateless
- 통신이 끝나면 상태를 유지하지 않는 특징
- 연결을 끊는 순간 클라이언트와 서버의 통신이 끝나며 상태 정보는 유지하지 않는 특성이 있다.
쿠키와 세션은 위의 두 가지 특징을 해결하기 위해 사용한다.
예를들어, 쿠키과 세션을 사용하지 않으면,
쇼핑몰에서 옷을 구매하려고 로그인을 했음에도 페이지 이동 시마다 계속 로그인일 해야 한다.
하지만 쿠키과 세션을 사용했을 경우에는 한 번 로그인을 하면 어떠한 방식에 의해서 그 사용자에 대한 인증이 유지되게 된다.
? 쿠키란 ?
- 클라이언트 로콜에 저장되는 키와 값이 들어있는 작은 데이터 파일이다.
- 사용자 인증이 유효한 시간을 명시할 수 있으며, 유효 시간이 정해지면 브라우저가 종료되어도 인증이 유지되는 특징이 있다.
- response header에 set-cookie 속성을 사용하면 클라이언트에 쿠키를 생성할 수 있다.
- 쿠키는 사용자가 따로 요청하지 않아도 브라우저가 request 시, request header에 넣어서 자동으로 서버에 전송된다.
쿠키의 동작 방식
클라이언트가 페이지를 요청
↓
서버에서 쿠키 생성
↓
http 헤더에 쿠키를 포함 시켜 응답
↓
브라우저가 종료되어도 쿠키 만료 시간이 있다면 클라이언트에서 보관
↓
같은 요청을 할 경우 http 헤더에 쿠키를 함께 보냄
↓
서버에서 쿠키를 읽어 이전 상태 정보를 변경할 필요가 있을 경우,
쿠키를 업데이트 하여 변경된 쿠키를 http 헤더에 포함시켜 응답
쿠키의 사용 예
- 방문 사이트 로그인 시, "아이디와 비밀번호를 저장하시겠습니까?"
- 쇼핑몰 장바구니 기능
- 자동 로그인
? 세션 이란 ?
- 세션은 쿠키를 기반으로 하고 있지만, 사용자 정보를 클라이언트에 저장하는 쿠키와 달리 서버에서 관리한다.
- 서버에서는 클라이언트를 구분하기 위해 세션 id를 부여하여
웹 브라우저가 서버에 접속해서 브라우저가 종료할 때까지 인증 상태를 유지한다.
- 사용자에 대한 정보를 서버에 두기 때문에 쿠키보다 보안이 좋지만,
사용자가 많아질수록 서버 메모리를 많이 차지하게 된다.
즉 !!!
동시 접속자가 많은 웹 사이트의 경우 서버의 과부하를 주게 되므로, 성능 저하의 요인이 된다.
- 클라이언트가 request를 보내면, 해당 서버가 클라이언트에게 유일한 id를 부여하는데 이를 session id 라고 한다.
세션의 동작 방식
클라이언트가 서버 접속 시, 세션 id를 발급 받음
↓
클라이언트는 세션 id에 대해 쿠키를 사용해서 저장하고 가지고 있음
↓
클라이언트는 서버에 요청할 때, 이 쿠키의 세션 id를 같이 서버에 전달해서 요청
↓
서버는 세션 id를 전달 받아 별도 작업 없이 세션 id로 세션에 있는 클라이언트 정보 사용
↓
이 클라이언트 정보를 가지고 서버 요청을 처리하여 클라이언트에게 응답
세션의 특징
- 각 클라이언트에게 고유 id (session id)를 부여
- session id로 클라이언트를 구분하여 클라이언트 요구에 맞는 서비스 제공
- 보안면에서 쿠키보다 우수
- 사용자가 많아질수록 서버 메모리 증가
세션의 사용 예
- 로그인 [보안에 중요한 작업을 수행할 때 사용]
? 쿠키와 세션의 차이 ?
- 쿠키와 세션은 비슷한 역할을 하여 동작원리도 비슷하다.
그 이유는 세션도 결국 쿠키를 사용하기 때문이다.
- 가장 큰 차이점은 사용자의 정보가 저장되는 위치이다.
때문에 쿠키는 서버의 자원을 전혀 사용하지 않으며 세션은 서버의 자원을 사용한다.
- 보안면에서는 세션이 더 우수하며, 요청 속도는 쿠키가 세션보다 더 빠르다.
? JWT 기반 인증 ?
- JWT (Json Web Token)란, 인증에 필요한 정보들을 암호화시킨 토큰을 의미한다.
- JWT 기반 인증은 쿠키 / 세션 방식과 유사하게 JWT 토큰을 http 헤더에 실어 서버가 클라이언트를 식별한다.
jwt는 .을 구분자로 나누어지는 세 가지 문자열의 조합이다.
실제 디코딩된 jwt는 다음과 같은 구조를 지니게 된다.
Header
- alg과 type은 각각 정보를 암호화할 해싱 알고리즘과 토큰의 타입을 지정한다.
{
"alg": "HS256",
"typ": "JWT"
}
Payload
- 토큰에 담을 정보를 지니고 있다.
- 주로 클라이언트의 고유 ID 값 및 유효 기간 등이 포함되어 있는 영역이다.
- key-value 형식으로 이루어진 한 쌍의 정보를 Claim이라고 칭한다.
{
"sub": "123",
"name": "Choi Eun",
"iat": 1516239022
}
Signature
- 인코딩된 Header와 Payload를 더한 뒤 비밀키로 해싱하여 생성한다.
- Header와 Payload는 단순히 인코딩된 값이기 때문에 제 3자가 복호화 및 조작이 가능하지만,
Signature은 서버 측에서 관리하는 비밀키가 유출되지 않는 이상 복호화 할 수 없다.
- Signatrue는 토큰의 위, 변조 여부를 확인하는데 사용된다.
JWT 인증 과정
클라이언트 로그인 요청이 들어오면, 서버는 검증 후 클라이언트 고유 ID 등의 정보를 Payload에 담는다.
↓
암호화할 비밀키를 이용하여 JWT를 발급한다.
↓
클라이언트는 전달받은 토큰을 저장해두고, 서버에 요청할 때 마다 토큰을 요청 헤더 Authorization에 포함시켜 전달한다.
↓
서버는 토큰의 Signature를 비밀키로 복호화한 다음, 위, 변조 여부 및 유효기간을 확인한다.
↓
유효한 토큰이라면 요청에 응답한다.
'토이 프로젝트 배우게 된 것들 & 오류 해결🐰' 카테고리의 다른 글
| ObjectMapper & ModelMapper (0) | 2023.02.25 |
|---|---|
| Unit Test 작성의 필요성 (0) | 2023.02.01 |
| JPA | @Transactional 과 변경감지 (0) | 2023.01.30 |
| JPA | 일대일 양방향 관계에서 CasCade 옵션 적용 일화 ..?🤔 (0) | 2023.01.25 |
| JPA | QueryDsl orderBy(정렬) 동적으로 사용하는 방법 (0) | 2023.01.21 |