💡 주제 선정 이유

• GDG 웹사이트 구현의 첫 단계 → 로그인 기능 고민
• OAuth와 JWT 활용으로 안전하고 효율적인 인증 구현 목적
• 사용자 인증과 권한 관리 기능 구현 기능, 기초 개념 확인

🔒 인증과 권한 관리의 필요성 및 개념

인증과 권한 관리의 중요성

• 사용자 데이터 보호와 접근 제어가 필수적임
• 보안을 강화하고 무단 접근을 방지해 신뢰성 높임

OAuth와 JWT 개념

• OAuth(Open Authorization):

  • 사용자가 직접 비밀번호를 공유하지 않고도 다른 애플리케이션이 사용자 계정에 접근할 수 있도록 액세스 토큰을 발급하여 권한을 위임하는 방식 (예: 애플, 구글, 카카오톡, 네이버 등 소셜 로그인 연동)
  • 이 액세스 토큰이 JWT 형식으로 발급되는 경우가 많아, JWT 토큰은 OAuth의 권한 위임 과정에서 인증과 권한을 증명하는 수단으로 사용됨.

• JWT(JSON Web Token):

  • 서버가 사용자의 인증 정보를 포함한 토큰을 생성해 클라이언트가 인증 상태를 유지하게 하는 방식 (예: 로그인 후 페이지 이동 시 인증 유지)
  • 비상태성: 서버는 세션 정보를 따로 저장하지 않고, 토큰 자체에 인증 정보를 담아 인증 상태를 유지하게 함. 이를 통해 서버는 상태를 관리할 필요 없이 요청마다 토큰만 검증하면 됨.
  • 쿠키**🍪~**나 로컬 스토리지에 JWT 토큰 저장되어 세션 유지 가능 (그러나 Cookie 권장)
  • JWT 3개 구성요소

  JWT 이해를 돕는 사진.

  

  JWT tokens and security - working principles and use cases

  • 절차

XSS(**Cross Site Scripting)**를 조심하라

JWT에서 XSS 공격이 문제가 되는 이유

• 클라이언트 측 저장 위험
  • JWT와 같은 토큰이 로컬 스토리지나 세션 스토리지에 저장될 경우, XSS 공격으로 악성 스크립트가 해당 저장소에 접근하여 토큰을 탈취할 수 있음.
• URL로 응답 시 위험
  • 일부 OAuth 구현에서 인증 서버가 URL 쿼리나 프래그먼트에 토큰을 포함해 응답하기도 함.
  • XSS나 URL 리다이렉트 공격이 발생하면, URL에 포함된 토큰이 악성 코드에 노출될 수 있음.

해결 방법

• HttpOnly 쿠키에 토큰 저장
  • HttpOnly 쿠키에 토큰을 저장하면, 클라이언트 측 자바스크립트에서 쿠키에 접근할 수 없어 XSS로부터 보호됨.
• CSP(Content Security Policy) 설정
  • 외부 스크립트 삽입을 방지하고, 신뢰된 도메인의 스크립트만 허용하여 XSS 공격의 위험을 줄일 수 있음.

개념 요약