Json Web Token - g-market/b-shop-backend GitHub Wiki

JWT

비밀키를 이용하여 서명된 JSON 형태의 데이터입니다. 페이로드에 사용자 인증 정보를 넣어서 토큰을 발급해주면 추후 인증이 필요한 리소스에 접근 시 사용자가 서버에 토큰을 포함해서 전송하여 서버측에서는 복잡한 인증 과정 없이 토큰만으로 사용자를 인증 및 인가할 수 있는 것입니다.

JWT는 헤더, 페이로드, sign(서명) 세 가지 정보를 base64로 인코딩한 값을 콤마('.')를 사이에 두고 이어붙인 형태로 생성됩니다.

• 헤더: JWT 서명에 사용된 알고리즘을 담읍니다.
• 페이로드: 토큰에 담긴 주체(Subject), 만료일(exp), 생성자(issuer) 등을 담읍니다.
• 시그니처: 헤더와 페이로드를 각각 base64로 인코딩한 후 콤마로 이어붙인다. 그리고 이를 헤더에 명시된 알고리즘으로 암호화한 값을 담읍니다.

비대칭키 암호화 방식을 사용하기 때문에 서버측에서는 이 토큰을 받아서 시그니처를 복호화하여 디코딩하는 방식으로 토큰의 유효성을 검증할 수 있습니다.

Access Token, Refresh Token

서버측 리소스에 접근할 때 클라이언트 본인을 인증할 수 있는 액세스 토큰으로 동작합니다. 그런데 이 JWT는 Stateless한 방식이기 때문에 서버측에서는 이 토큰을 갖고 있는 클라이언트가 정말 클라이언트 본인이 맞는지 확인할 수 없다는 문제점이 있습니다.

그래서 이에 대한 보안 대책으로 리프레쉬 토큰이라는 추가적인 토큰을 활용할 수 있습니다. 이 리프레쉬 토큰은 사용자 인증이 아닌 새로운 액세스 토큰을 생성하는 용도로만 사용됩니다.

그러면 왜 굳이 별도의 토큰을 두고 새로운 액세스 토큰을 발급받도록 한 것일까요? 이는 위의 JWT 유출 문제를 다음처럼 해결하기 위한 것입니다.

• 사용자는 Access Token과 Refresh Token을 둘 다 서버에 전송하여 전자로 인증하고 만료됐을 시 후자로 새로운 Access Token을 발급.
• 공격자는 Access Token을 탈취하더라도 짧은 유효 기간이 지나면 사용할 수 없습니다.
• 정상적인 클라이언트는 유효 기간이 지나더라도 Refresh Token을 사용하여 새로운 Access Token을 생성, 사용할 수 있습니다.

만약 Refresh Token의 탈취가 발생한다면?

공격자는 이 토큰의 유효 기간만큼 다시 Access Token을 생성해서 다시 정상적인 사용자인 척 위장할 수 있다. 그렇기 때문에 여기서는 서버측의 검증 로직이 필요합니다.

해결 방법: 서버 NO_SQL REDIS 에서 Refresh Token을 삭제

Refresh_Token_탈취
(https://user-images.githubusercontent.com/32899025/228708386-bef5f54c-1912-4dfa-9937-1c0801a56174.mp4)