[보안] 보안 & 해시 & 쿠키 & 토큰 & JWT & 캐시

<본 블로그는 엘리스 IoT 1를 참고해서 공부하며 작성하였습니다 :-)>

 

 

👩‍💻 보안

: 승인하지 않은 액세스나 오용, 오동작, 수정, 파괴 등으로부터 보호하는 프로세스 

 

⭐ 인증 (Authentication)

: 사용자의 신원을 검증하는 프로세스 

 

- 비밀번호 : 사용자가 데이터 올바르게 입력하면, 정보가 유효하다 판단

- 일회용 핀 : 단일 세션이나 트렌잭션(쪼갤 수 없는 작업의 단위)에 한하여 허용

- 인증 앱 : 외부 기관 통해 보안 코드 생성

- 생체 인식 : 지문이나 망막 스캔 제출

 

⭐ 인가 (Authorization)

: 인증된 사용자가 어떠한 자원에 접근할 수 있는지를 확인하는 프로세스

 

⭐ 암호 기법

: 정보를 의도하지 않은 수신자가 파악할 수 없는 형태로 바꾸어 보호하는 학문

➕ 암호 기법 구조

 

 

---

👩‍💻 해시 (Hash)

: 단방향 암호화 기법으로 해시함수 이용하여 고정된 길이의 암호화된 문자열로 바꿔버리는 것

 

⭐ 해시 함수

: 임의의 길이의 데이터를 고정된 길이의 데이터로 매핑(하나의 값을 다른 값으로 대응)하는 함수

 

- 해시값

: 매핑 후 데이터의 값

- 키

: 매핑 전 데이터의 값

- 해싱

: 매핑하는 과정

 

⭐ 해시 함수 종류

- 암호화 해시함수

: 해시값을 가지고 입력값을 알아내기 어렵다는 점을 이용해, 암호학적 원리 기반

: 단방향성, 복호 불가 기능

: 충돌 저항성 (같은 해시값 반환하는 2개의 입력값의 쌍 찾기 힘듦)

: 압축 효과 (작은 해시값만으로도 거대한 크기의 데이터 무결성 보장)

: 눈사태 효과 (아주 작은 변화로도 결과값이 전혀 다르게 도출) 

ex) MD5, SHA, MAC

➕ SHA (Secure Hash Algorithm)
: 서로 관련된 암호학적 해시함수 등의 모음

 

- 비암호화 해시함수

: 동일한 해시값을 갖는 서로 다른 입력값은 존재하지 않는다는 성질을 이용하여 입력값에 대한 무결성 검증용

ex) CRC, Checksum

 

 

---

👩‍💻 쿠키 (Cookie)

https://velog.io/@rlfrkdms1/%EC%BF%A0%ED%82%A4%EC%99%80-%EC%84%B8%EC%85%98%EC%9D%98-%EB%8F%99%EC%9E%91-%EC%9B%90%EB%A6%AC%EC%99%80-%EC%84%B8%EC%85%98%EC%9D%98-%EA%B5%AC%EC%A1%B0

: 서버에서 사용자 브라우저로 전송하는 작은 데이터

: 한개에 4KB 까지 저장 가능

: 클라이언트에 저장

: 이름, 값, 만료날짜, 경로 정보 가짐

: 웹 브라우저 종료되면 삭제됨

 

⭐ 장점

- 인증 및 인가를 위한 데이터 저장 필요 없음

- 서버 대수 늘리는 Scale-out 이슈가 없음

- 서버와의 통신 과정 없애므로 빠른 속도 

 

⭐ 단점

- 사용자 주요 정보를 매번 요청에 담아야 하므로, 보안상의 문제

- 용량 제한 있어서 많은 정보 담을 수 없음

- 웹 브라우저마다 쿠키의 자원 형태가 달라 브라우저 간 공유가 불가능  

 

⭐ IP 서브넷 마스크

: 로컬 네트워크 내부에서 접속한 호스트 IP 대역을 외부 네트워크와 명확하게 구분할 수 있는 수단

 

👩‍💻 세션 (Session)

: 웹 사이트의 여러 페이지에 걸쳐 사용되는 사용자 정보를 저장하는 방법

: 웹 서버에 웹 컨테이너의 상태를 유지하기 위한 정보 저장

: 웹 서버에 저장되는 쿠키 = 세션 쿠키

: 서버 용량 허용하는 한에서 저장 데이터 제한 없음

: 각 클라이언트에 고유 Session ID 부여

 

⭐ 장점

- 쿠키에 비해 안전

- 로그인 정보를 유지하여 자동 로그인 됨 

 

⭐ 단점

- 쿠키에 비해 조금 느림

- 한계가 존재하는 서버 자원 사용

- 속도 저하나 오버헤드 등 서버에 부하

 

 

---

👩‍💻 토큰 (Token)

: 서버가 각각의 클라이언트를 누군지 정확히 구별할 수 있도록 유니크한 정보를 담은 암호화 데이터 

토큰기반 인증 -> 사용자가 자신의 아이덴티티를 확인하고 고유한 액세스 토큰을 받을 수 있는 프로토콜

 

⭐ 토큰 종류

- 연결형

: 키, 디스크, 드라이브 및 기타 물리적 장치가 시스템에 연결되어 액세스 허용

- 연결형

: 디바이스가 서버와 통신하려면 충분히 가까워야되지만 연결 할 필요 없음

- 분리형

: 접촉하지 않고도 먼 거리에서 서버와 통신

 

⭐ 토큰 인증 절차

1. 사용자가 서버 또는 보호되는 리소스에 대한 액세스 요청

2. 서버가 해당 사용자의 액세스 여부 확인

3. 서버가 링, 키, 휴대전화 등의 인증 디바이스와 통신

4. 작업 지속 동안 토큰이 사용자의 브라우저에 저장 

 

 

 

---

👩‍💻 JWT (JSON Web Token)

: 클라이언트와 서버 사이에서 통신할 때 권한을 위해 사용하는 토큰 

⭐ 헤더 HADER	JWT에서 사용할 타입과 해시 알고리즘의 종류 담김
⭐내용 Payload	서버에서 첨부한 사용자 권한 정보와 데이터 담김
⭐ 서명 Signature	개인키로 서명한 전자서명 담김

 

⭐특징

: JWT 토큰을 HTTP 헤더에 실어 서버가 클라이언트를 식별

: JSON 데이터를 인코딩하여 직렬화함 (토큰 내부에는 개인키를 통한 전자 서명 있음)

: JWT 를 서버로 전송하면 서버는 서명을 검증하는 과정 거침, 검증 완료되면 요청한 응답 돌려줌

 

⭐ 장점

- JSON 언어로 새엉된 토큰은 용량 작아서 두 엔티티 사이에 매우 빠르게 전달됨

- 거의 모든 곳에서 토큰 생성, 서버에서 토큰 확인할 필요 없음 

 

⭐ 단점

- 단일 키 이용하므로, 키가 유출되면 시스템 전체가 위험에 노출

- 토큰이 복잡함

- 메시지를 모든 클라이언트에게 푸시할 수 없고, 서버 측 클라이언트도 관리할 수 없음

 

⭐ JWT 동작원리

 

⭐ JWT 보완

- Refresh Token

: Access Token, Refresh Token 함께 발급하여 짧은 만료 시간의 문제 해결 방법

: Access Token 만료되면 Refresh Token으로 서버에게 새로운 Access Token 발급하도록 함 

 

 

---

👩‍💻 캐시 (Cache)

: 자주 필요한 데이터나 값의 복사본을 일시적으로 저장, 보관하는 곳에 접근하는 방식

: 웹페이지의 요소나 이미지, 오디오, 비디오 파일 같은 것 저장

: 데이터베이스 비용 절감

: 백엔드 로드 감소

: 어플리케이션 성능 개선

: IOPS 개선

 

⭐ 캐싱 (Cashing)

: 오랜 시간이 걸리는 작업의 결과를 저장해서 시간과 비용을 필요로 회피하는 기법

: 캐시의 데이터는 일반적으로 RAM과 같이 빠르게 액세스할 수 있는 하드웨어에 저장

 

⭐ CDN (Content Delivery Network)

: 고용량 데이터를 이용자가 어느 곳에 위치해 있더라도 안정적으로 전송해주는 기술

: CDN 네트워크와 Cache 서버가 위치함