스프링 숙련 3주차 : 인증과 인가

인증과 인가

인증(Authentication)

• 해당 유저가 실제 유저인지 인증(확인) 개념
• ex. 스마트폰 지문인식, 로그인 등

인가(Authorization)

• 해당 유저가 특정 리소스에 접근 가능 여부 허가 확인 개념
• ex. 관리자 페이지 - 관리자 권환

웹 애플리케이셔 인증의 특수성

1. 일반적으로 서버 - 클라이언트 구조, 물리적 거리 존재
2. HTTP 프로토콜을 이용하여 통신 -> 비연결성(Connectionless) 무상태(Stateless)

   👉 비연결성(Connectionless) : 서버와 클라이언트가 연결되지 않음을 의미

   채팅이나 게임같은 것을 하지 않는 이상 서버와 클라이언트는 실제로 연결 ❎ -> 리소스 절약을 위해
   서버는 하나의 요청에 하나의 응답을 주고 연결 끊음

   👉 무상태(Stateless) : 서버가 클라이언트의 상태를 저장하지 않음을 의미

   상태 저장 -> 서버 비용, 부담 ⬆️
   서버는 클라이언트가 이전에 어떠한 요청을 보냈는지 모름

인증의 방식

1. 쿠키 - 세션 방식

• 서버가 '특정 유저가 로그인되었다'는 상태를 저장하는 방식
• 인증과 관련된 아주 약간의 정보만 서버가 보유
• 유저의 이전 상태의 전부는 아니더라도 인증과 관련된 최소한의 정보를 저장해서 로그인 유지하는 개념

2. JWT 기반 인증

JWT(JSON Web Token) : 인증에 필요한 정보들을 암호화시킨 토큰

쿠키/세션 방식과 유사하게 JWT 토큰(Access Token)을 HTTP 헤더에 실어 서버가 클라이언트를 식별