인증Authentication/인가Authorization

📍 인증Authentication : 내가 누구인지!

비밀번호 관리

1. DB에 저장 시 개인정보를 해싱(암호화)하여 복원할 수 없도록 함. 예:난독화
2. 통신 시 개인 정보를 주고 받을 때 SSL을 적용하여 암호화(HTTPS 주소창 앞에 자물쇠)

암호화는 어떻게 하나?

단방향 해쉬

• hash함수는 자료구조에서 빠른 자료의 검색, 데이터 위변조 체크를 위해 쓰임
• 복원 불가능
• 단방향 해쉬함수는 암호학적 용도로 사용
• MD5, SHA-1 : 보안 취약, SHA-256등이 있음
• 결과만 보면 당장 식별이 불가능한 값같아 보이지만
• 하지만 같은 알고리즘으로 '1234'를 해싱하면 같은 값이 나옴
• 단점
  • input이 똑같을 때, output도 똑같음 > 보안 취약
• SALTIING & Keystretching

 

• Salting : 입력한 비밀번호화 임으로 생성한 문자열(Random Salt)값을 합쳐서 해싱 > 이 해시 값을 저장
  • 비교를 위해 해시값과 소금(Salt)값을 같이 저장

Keystretching : Salting 및 해싱을 여러번 반복 > 원본 값을 유추하기 어렵게 만드는 것

• 해커가 패스워드 무작위 대입을 통해 해시값을 계산하는데 필요한 시간을 대폭 늘리기 위해

 

bcrypt

Salting & key Stretching 대표적 라이브러리

앞의 개념들을 실제로 적용하기 편하게 해주는 대표적 라이브러리

다양한 언어 지원, 사용 간편. 쉽게 적용 가능.

 

 

 

📍 인가 (Authorization)

사용자가 서버에 로그인 하면 해당 사용자가 맞는지 확인하는 과정

Http의 특징

• request/response
• stateless

token

• 발급 : 백엔드
• 들고다니면서 관리 :프론트
• 토큰은 메타데이터에 들어가 있음

클래임 

{key, value}

시그니처부분은 중요한 부분이라 암호화!

 

http://www.opennaru.com/opennaru-blog/jwt-json-web-token/