[WEB] HTTP 인증방식1_세션/쿠키

🌱 인증?

  인증(Authentication)이란, 사용자가 자기자신을 증명하는 일입니다.

사용자 A와 B가 하나의 웹사이트를 사용한다라고 가정해봅시다. 두 사용자가 가지고있는 회원정보와 컨텐츠는 각각 다를 것이다. 따라서 서버에서는 A, B가 요청을 보냈을 때 누구의 요청인지를 구분해내야 합니다. 그렇지 않으면 B의 민감한 개인정보가 A에게 보여지는 일이 발생할 수 있기 때문입니다. 그래서 브라우저에서는 자신이 누구인지를 증명할  수 있는 정보를 서버에 보내야하며, 서버는 그 단서를 바탕으로 사용자에게 맞는 데이터를 보내주어야 합니다.

 

🌱 HTTP와 인증

  현재 웹에서 가장 많이 사용되는 통신방식은 HTTP 통신입니다. HTTP 통신의 가장 큰 특징 중에는 비연결성(connectionless)와 무상태(stateless)가 있습니다. 비연결성이란 클라이언트와 서버가 한번 연결을 맺은 후, 클라이언트 요청에 대해 서버가 응답을 마치면 맺었던 연결을 끊어버리는 성질입니다. 만약 서버에서 다수의 클라이언트와 연결을 계속 유지해야 한다면, 연결을 유지하기 위한 많은 자원들이 낭비될 수 있기때문에 한번 맺은 연결을 끊어버리게 됩니다.

  무상태란 서버가 클라이언트의 상태를 알 수 없다는 성질입니다. HTTP는 연결이 유지되지 않고 끊어지는 비연결성이라는 특징 때문에 과거에 대한 정보를 유지할 수 없습니다. 현재 요청을 보낸 클라이언트가 인증을 했던 사용자인지, 아닌지 기억할 수 없기때문에 HTTP 요청마다 인증정보를 함께 보내야합니다.

 HTTP 인증 방식에는 대표적으로 쿠키/세션 방식과 토큰 방식이 있습니다. 다시 토큰을 이용하는 대표적인 방법에는 JWT와 OAuth가 있습니다. 이번 포스팅에서는 쿠키/세션을 이용한 방식에 대해서 알아보려고 합니다. 

 

🌱 쿠키 VS 세션

  쿠키란 사이트를 방문하고 이용할때 브라우저에 저장되는 내용입니다. 하지만 쿠키는 클라이언트가 조작할 수 있고, 심지어 남이 훔치거나 도둑질하기 쉬워 보안에 취약하다는 한계가 있습니다. 이와 반대로 세션은 브라우저가 아닌 서버단에서 사용자 정보를 저장하는 구조입니다. 서버가 직접 저장하기 때문에 쿠키보다 안전하지만, 세션을 남발하게되면 서버에 부하가 올 수 있습니다. 때문에 쿠키로 노출하면 안되는 민감한 정보만 세션에 저장하며, 쿠키와 세션을 적절히 사용해야 합니다.

 

🌱 세션/쿠키 방식

[ 흐름 ]

1. 사용자 로그인

2. 회원이 맞는지 회원DB에서 확인

3. 회원이 맞다면, 사용자의 고유한 ID값을 부여하고 세션 ID와 매핑하여 세션 저장소에 저장

4. 서버는 브라우저에게 로그인 요청에 대한 응답과 함께 세션ID를 전송

5. 브라우저는 받은 세션ID를 쿠키에 저장

6. 브라우저가 데이터 요청과 함께 쿠키(세션ID)를 서버로 전송

7. 서버는 받은 쿠키(세션ID)를 검증

8. 서버는 세션ID와 대응되는 유저 정보(세션)를 획득

🌱 세션/쿠키 방식 특징과 장단점

[ 특징 ]

1. 서버에서 클라이언트의 세션정보를 DB에 저장하고 있습니다.(별도의 세션저장소)

2. 서버가 클라이언트의 상태를 서버에서 계속 유지하고 이 정보를 서비스에 이용하는 Stateful 서버입니다.

 

[ 장점 ]

1. 서버에서 클라이언트 상태를 유지하고 있으므로 사용자의 상태를 직접 관리할 수 있습니다.

(ex. 강제 로그아웃, 사용자의 로인 여부 확인) 

2. 클라이언트가 임의로 정보를 변경시켜도 서버에서 클라이언트 상태 정보를 가지고 있어 상대적으로 안전합니다.

 

[ 단점 ]

1. 서버에서 추가적인 세션 저장소를 사용하기때문에 DB의 부하가 심해질 수 있습니다.

2. 세션 하이제킹 공격에 취약합니다. 

: 세션 하이제킹이란 공격자가 사용자A의 HTTP요청을 훔쳐 쿠키(세션 ID)를 얻어내고 공격자가 얻어낸 쿠키(세션 ID)로 요청을 보내면 서버에서는 사용자A로 착각하게되는 것을 이용한 공격입니다.

3. 서버의 확장성이 어려워집니다.

 : 서버의 확장이란, 더 많은 트래픽을 감당하기 위하여 여러개의 프로세스를 돌리거나 여러대의 서버 컴퓨터를 추가 하는것을 의미합니다.

🌱 세션/쿠키 방식 실제 예시

실제 제가 세션/쿠키 방식을 사용하여 개발했었던 스프링 시큐리티를 이용한 프로젝트를 살펴보면 다음과 같습니다.

 

[ 브라우저의 쿠키 ]

로그인을 하게되면, 브라우저의 쿠키에 세션ID가 존재합니다.

만약 해당 쿠키를 삭제하게되면 로그아웃이 됩니다.

하지만 쿠키를 삭제한다고 세션 저장소의 값이 사라지지는 않습니다.

쿠키 안에 세션ID

[ 서버의 세션 저장소 ]

spring_session 테이블은 다음과 같습니다.

만약 세션 저장소의 해당 유저의 데이터를 삭제하게 되면 강제 로그아웃이됩니다.

spring_session_attributes테이블은 다음과 같습니다.

 

실제 구현할 때, 세션 저장소의 방식도 여러 종류가 있는데 다음 포스팅을 확인하면 좋을 것같다.

2021.04.11 - [spring] - [Spring Boot] 세션저장소

[Spring Boot] 세션저장소

 

 

 

 

출처 : 

유튜브 영상 - 쿠키, 세션, 캐시가 뭔가요?

유튜브 영상 -Session vs Token authentication in 100 seconds

 

블로그 포스팅 - HTTP 특성

블로그 포스팅 - 세션/쿠키, 토큰방식

블로그 포스팅 - 쉽게 알아보는 서버 인증 1편 ( 세션/쿠키, JWT )