[React] Session, Token

Jump to bottom

Kim Hyewon edited this page Jun 10, 2022 · 1 revision

Authentication(인증)

사용자의 요청사항이 권한이 있는지 확인
login

Authorization(인가)

인증을 받은 사용자가 서비스를 이용할때 인증받은 상태를 유지시키는 것
login 상태 유지

Session

session id를 사용하여 어떤 사용자가 서버에 로그인되어 있음을 지속되는 상태를 세션이라고 함

Authenticaion 방법

login에 성공하면 session-id 발급

Authorization 방법

서버에 요청 할때마다 session-id를 포함하여 보냄
브라우저에서 보낸 session-id와 server가 일치하는지 확인

문제점

서버가 여러대인 경우 세션 유지가 힘듬

Token

JWT: json web token
서버가 아닌 클라이언트에서 상태를 기억
SSO
header.payload.verify signature로 구성
payload: 사용자의 닉네임, 서비스상의 레벨, 관리자 여부와 같은 정보

Authentication

사용자가 로그인에 성공하면 토큰 발행 but 서버는 기억하고 있지 않음

Authorization 방법

JWT는 서버와 클라이언트 간 정보를 주고 받을 때 Http 리퀘스트 헤더에 JSON 토큰을 넣은 후 서버는 별도의 인증 과정없이 헤더에 포함되어 있는 JWT 정보를 통해 인증합니다.
token의 payload를 확인, 토큰에 필요한 모든 정보를 포함하고 있어 참조(적어도 인증 및 권한 부여를 위해)

문제점

토큰을 발급한 후 서버에서 통제를 못함

참고

JWT 인증 flow