오늘은 보안/인증 두번째 파트인 토큰 그리고 CSRF에 대해 배웠다. 어제의 답답함이 좋은 영향을 끼친건지 오늘은 인증/보안 흐름이 눈에 들어와서 어제보다는 수월하게(?)는 아니지만 어제보다는 나은.. 그런 느낌으로 과제를 수행했다. 지금도 남은 과제를 풀고는 있는 중인데 흐름은 보이지만 코드를 짜는건 쉽지않다. 쉽지않어..
- 토큰 인증 방식 중 하나
- Json Web Token의 약자
- Json포맷으로 사용자에 대한 속성을 저장하는 웹 토큰
- 클라이언트에 인증 정보 저장
- session을 안 쓰고 jwt를 왜 쓰는거지?
세션 기반 인증은 서버(혹은DB)에 유저 정보를 담은 인증 방식이었다. 매번 유저가 민감한 정보를 서버에다 요청하면 서버는 가지고 있는 세션값과 일치하는지를 매번 확인해야만 한다. 때문에 세션을 이용하면 매번 데이터베이스를 사용하는게 부담이다. 때문에 이에 대한 부담을 덜어내기위한 방법 JWT(JSON Web Token)
- 클라이언트에 인증 정보를 저장하면 위험하지 않나?
토큰은 유저 정보를 암호화한 상태로 담을 수 있고, 암호화 했기 때문에 클라이언트에 담을 수 있다. 그러나 기본적으로 너무 민감한 정보는 클라이언트에 담지말자
사진출처: 코드스테이츠