[Web] Authentication & Autorization

 

💡 인증(Authentication) Vs 인가(권한 부여, Autorization)
    비슷해 보이지만 다른 두 프로세스의 차이점을 정리하자!

    노션에서 보기

 

---

📌 요약

• 인증이란,
  • 사용자가 누구인지 확인하는 절차
• 인가란,
  • 사용자에 대한 권한을 허락하는 것
• 누가, 언제, 어떻게 쓰고 있는지를 파악하기 위해 인증과 인가가 존재한다. in anywhere
• Private한 API & Public한 API 모두 기본적인 인증과 인가를 요구한다.

---

👌🏻 인증

인증의 개념

• 사용자(혹은 장치)가 누구인지를 확인하는 절차
  • 예시 : 회원가입, 로그인, 신분증 제시를 통한 신원 확인

인증의 절차

• 회원가입 과정
  1. 아이디, 비밀번호를 생성한다.
  2. 비밀번호를 암호화하여 DB에 저장한다.
• 로그인 과정
  1. 등록된 아이디와 비밀번호를 입력한다.
  2. 암호화되어 DB에 저장된 사용자의 비밀번호와 일치하는지 비교한다.
     • 일치하는 경우, 로그인
     • 일치하지 않는 경우, 로그인 실패
  3. 로그인에 성공하면, access token을 클라이언트에 전송
  4. 최초 로그인 성공 후 이후부터는 access token을 첨부하여 서버에 요청을 전송함으로써, 매번 로그인하는 과정을 생략할 수 있다.

정보를 첨부해 통신을 보내는 방법

• 회원가입 후 로그인 과정에서 access token에 사용자 정보를 첨부한다고 할 때, 어떤 방식으로 유효하고 + 보안성까지 고려한 정보를 첨부해 통신을 보낼 수 있을까?

1. ID, Password 를 함께 보내기

• 가장 단순한 방법
• 매번 서버에서 사용자 정보 확인 필요
• 사용자 정보의 반복 조회 관점에서 보안 취약

1. 일정 시간이 지나면 만료되는 임시 ID 보내기

• 임시 ID를 사용하는 경우, 어떤 사용자가 요청을 했는지 파악하기 어려움
  • 실제 사용자 정보와 - 임시 정보를 서로 매핑해야 하므로 효율성 저하

1. 일정 시간 동안 인가에 유효한 정보로 대체하기

• 사용자의 정보를 담은 JSON 데이터를 암호화하여 → 클라이언트와 서버 간에 정보를 주고받을 수 있는 JWT 사용

---

🙆🏻‍♀️ 인가(권한 부여)

인가(권한 부여)의 개념

• 사용자가 요청하는 요청(Request)을 실행할 수 있는 권한 여부를 확인하는 절차
  • 예시 : 블로그 포스팅 시 글쓴이와 읽는 사용자에 대해, 글의 내용을 수정할 수 있는 권한은 글을 직접 게시한 글쓴이만 가능하다.
• 어떤 개체가 ‘어떤 리스소에 접근할 수 있는지’ or ‘어떤 동작을 수행할 수 있는지'를 검증하는 것 → 즉, ‘접근 권한'을 얻는 것

인가(권한 부여)의 절차

1. Authentication 절차를 통해 access token 을 생성한다.
   • access token에는 사용자 정보를 확인할 수 있는 정보, Ex) user ID 가 들어 있어야 한다.
2. 사용자가 Request를 보낼 때 access token을 함께 첨부해서 보낸다.
3. 서버에서는, 유저가 보낸 access token을 복호화한다.
4. 복호화된 데이터를 통해 user ID 를 얻는다.
5. user ID 를 통해 DB에서 해당 유저의 권한(permission)을 확인한다.
6. 사용자가 충분한 권한을 가지고 있으면, 해당 요청을 처리한다.
7. 사용자가 권한을 가지고 있지 않는 경우, Unauthorized Response(401) 과 같은 에러 코드를 보낸다.

---

인증 Vs. 인가

• Point) 인증은 → 인가로 이어지지만, 인가가 → 인가로 이어지지는 않는다!
  • 신원 증명이 접근 권한을 승인하기에는 충분하다고 해도, 즉 무엇인가를 얻는데 인가를 받을 수 있다고 해도
  • 인가가 항상 개체를 식별하는 데 사용할 수 있는 것은 아니다.
    • 예를 들어, 비행기 탑승권은 신원 확인/인가 정보를 포함하고 있지만,
    • 공연 티켓의 경우 신원 세부 사항을 담고 있지 않아 공연장 입장을 위한 권한을 제시할 뿐 사용자의 신원 확인을 할 수 있는 것은 아니다.

---

🔖  참고 자료

• 참고1
• 참고2
• 참고3