728x90 넓고 얕은 웹 지식/보안2 JWT(Json Web Token) JWT(Json Web Token) 데이터를 안전하고 간결하게 전송하기 위해 고안된 인터넷 표준 인증 방식으로 토큰 인증 방식에서 가장 범용적으로 사용된다. JSON 포맷의 토큰 정보를 인코딩 하여 그 정보를 Secret Key로 서명한 메시지를 Web Token으로써 인증 과정에 사용한다. JWT의 종류 Access Token 보호된 정보들에 접근할 수 있는 권한 부여에 사용 비교적 짧은 유효 기간으로 탈취되더라도 오래 사용할 수 없게 한다. Refresh Token Access Token이 만료되었을 때 새로운 Access Token을 발급받을 수 있다. 유효 기간이 길기 때문에 탈취당하면 큰 피해를 입을 수 있다. 그래서 사용하지 않는 곳이 많다. JWT의 구조 Header.Payload.Signa.. 2022. 11. 22. 세션 기반 자격 증명 방식과 토큰 기반 자격 증명 방식 세션 기반 자격 증명 방식 HTTP 프로토콜은 request 전송 후 response를 수신하게 되면 연결을 끊는 비연결성(Connectionless)의 특성과 request, response 상태를 저장하지 않는 비상태성(Stateless)의 특성을 가지고 있기 때문에 사용자 인증을 성공했을 때 인증된 사용자의 request 상태를 유지하기 위해 세션을 이용한다. 서버 측에 인증된 사용자의 정보를 세션 형태로 저장한다.(서버 측 세션 저장소에서 관리) 사용자의 고유 ID인 세션 ID는 클라이언트의 쿠키에 저장되어 증명 수단으로 사용된다. 세션 ID만 클라이언트 쪽에서 사용하기 때문에 토큰 방식에 비해 상대적으로 적은 네트워크 트래픽을 사용한다. 서버에서 세션 정보를 관리하므로 보안성이 유리하다. 서버 .. 2022. 11. 22. 이전 1 다음 728x90