[Web] 서버 기반 인증 시스템과 토큰 기반 인증 시스템

 

💡 세션과 JWT로 대표되는 Web 의 인증 방식에 대해 하자!

   노션에서 보기

 

---

📌 요약

• 서버 기반 인증 시스템과 토큰 기반 읜증 시스템으로 구분할 수 있다.
• 서버 기반 인증 시스템
  • 서버 측에서 사용자 정보를 기억
• 토큰 기반 인증 시스템
  • 사용자 정보를 서버에 담아두지 않는다. 즉 stateless하다.

---

🌧️ 서버 기반 인증 시스템

서버 기반 인증 시스템 개념

• 기존의 인증 시스템은 서버 기반의 인증 방식으로, 서버 측에서 사용자 정보를 기억하고 있는 방식이다.
• 사용자 정보를 기억하기 위해 세션을 유지해야 하고, 메모리나 디스크, 또는 DB 등을 통해 관리한다.
• 클라이언트로부터 요청을 받으면 → 클라이언트의 상태를 계속해서 유지하고, 이 정보를 서비스에 이용한다는 점에서 Stateful 서버라고 할 수 있다.
  • Ex) 사용자 로그인 시, 세션에 사용자 정보를 저장해두고 서비스 제공 시 사용한다.

 

서버 기반 인증 시스템의 동작 과정

 

서버 기반 인증 시스템

 

1. 클라이언트에 로그인 요청이 들어온다.
2. 로그인에 성공하면 서버가 유저 세션을 만들고, 메모리나 DB에 저장한다.
3. 서버가 클라이언트에 세션 ID를 보낸다.
4. 클라이언트의 브라우저에 세션의 ID만 쿠키에 저장하게 한다.
5. 세션 데이터가 서버의 메모리에 저장되므로, 확장 시 모든 서버가 접근할 수 있도록 별도의 중앙 세션 관리 시스템이 필요하다.

• 서버 기반 인증 방식은 소규모 시스템에서는 여전히 많이 사용되지만, 서버를 확장하기 어렵다는 문제점이 존재한다.

 

서버 기반 인증 시스템의 문제점

1. 세션
   • 세션(Session)이란, 사용자가 인증을 할 때, 서버가 저장하고 있는 정보이다.
   • 대부분의 경우, 세션을 메모리에 저장하여 → 로그인 중인 사용자가 늘어날 경우 서버의 RAM에 과부하가 걸릴 수 있다.
     • 이를 피하기 위해 DB에 저장을 하기도 하지만, 이 역시 DB에 무리를 줄 수 있다.
2. 확장성

• 사용자가 늘어나게 되면 더 많은 트래픽을 처리하기 위해 여러 프로세스를 돌리거나, 컴퓨터를 추가하는 등의 서버를 확장해야 한다.
• 세션을 사용하면, 세션을 분산시키는 시스템 또한 설계해야 하지만 이 과정이 매우 어렵고 복잡한 것
• 중앙 세션 관리 시스템이 없으면, 시스템 확장에 어려움이 생긴다.
• 중앙 세션 관리 시스템이 장애가 일어나면, 시스템 전체가 문제가 생긴다.

1. CORS(Cross-Origin Resource Sharing)

• 웹 어플리케이션에서 세션을 관리할 때, 자주 사용되는 쿠키는 단일 도메인 및 서브 도메인에서만 작동하도록 설계되어 있다.
  • 따라서 쿠키를 여러 도메인에서 관리하는 것이 번거로운 것

---

💡 토큰 기반 인증 시스템

토큰 기반 인증 시스템 개념

• 토큰 기반 인증 시스템은, 인증 받은 사용자들에게 토큰을 발급하고 → 서버에 요청 시 헤더에 토큰을 함께 보내 유효성을 검사하는 방식이다.
• 토큰 기반 인증 시스템에서는, 더이상 사용자의 인증 정보를 서버나 세션에 유지하지 않고, 클라이언트 측에서 들어오는 요청만으로 작업을 처리한다.
• 서버 기반 인증 시스템과 달리, 상태를 유지하지 않는 Stateless 한 구조를 갖는다.

 

토큰 기반 인증 시스템의 동작 과정

 

토큰 기반 인증 시스템

 

1. 사용자가 아이디와 비밀번호로 로그인을 한다.
2. 서버 측에서 해당 정보를 검증한다.
3. 정보가 정확하다면, 서버 측에서 사용자에게 Signed 토큰을 발급한다.
   • Signed는 해당 토큰이 서버에서 정상적으로 발급된 토큰임을 증명하는 Signature를 가지고 있다는 것이다.
4. 클라이언트 측에서 전달받은 토큰을 저장해두고, 서버에 요청할 때마다 해당 토큰을 서버에 함께 전달한다.
   • 이때, HTTP 요청 헤더에 토큰을 포함시킨다.
5. 서버는 토큰을 검증하고 → 요청에 응답한다.

 

토큰 기반 인증 시스템의 장점

1. 무상태성(Stateless) & 확장성(Scalability)

• 토큰은 클라이언트 측에 저장되므로, 서버는 완전히 Stateless하다.
• 클라이언트와 서버의 연결 고리가 없으므로 확장하기에 매우 적합하다.
• 만약, 사용자 정보가 서버 측 세션에 저장된 경우, 서버를 확장하여 분산 처리를 한다면, 해당 사용자는 처음 로그인을 했던 서버에만 요청을 받도록 설정을 해주어야 한다.
  • 하지만, 토큰을 사용한다면 어떤 서버로 요청이 와도 상관 없다!

1. 보안성

• 클라이언트가 서버로 요청을 보낼 때, 더 이상 쿠키를 전달하지 않으므로 → 쿠키 사용에 의한 취약점이 사라지게 된다.
  • 하지만, 토큰 환경의 취약점이 존재할 수 있어, 이에 대비가 필요하다.

1. 확장성(Extensibility)

• Extensibility 는 로그인 정보가 사용되는 분야의 확장성을 의미한다.
  • Scalability : 시스템의 확장성을 의미
• 토큰 기반 인증 시스템의 경우, 토큰에 선택적인 권한만 부여하여 발급 가능
  • OAuth의 경우, Facebook, Google과 같은 소셜 계정을 이용해 다른 웹 서비스에서 로그인이 가능

1. 여러 플랫폼 및 도메인

• 서버 기반 인증 시스템의 문제점 중 하나인 CORS 해결 가능
  • 어플리케이션과 서비스 규모 확장되면 → 여러 디바이스 호환 및 더 많은 종류의 서비스 제공
  • 토큰을 사용할 경우, 어떤 디바이스나 도메인에서도 토큰의 유효성 검사를 진행한 후 요청 처리 가능

---

🔖 참고 자료

• 참고1