서론
쿠키와 세션, 그리고 JWT를 활용한 사용자 정보 관리를 학습하면서 인증과 인가에 대한 내용이 나왔다.
로그인을 통해 사용자 인증을 하고 로그인한 사용자의 권한이 관리자인지, 일반 사용자인지 확인하는 인가작업을 하는 과정이 존재했다. 인증과 인가라는 단어가 딱 들었을 때, 이해가 안되는 내용은 아니지만 정의와 함께 확실하게 이해하고자 정리해본다.
인증과 인가
인증과 인가를 따로 기술하기 보단 함께 비교하면서 기술하는 것이 이해하기에 쉽다고 생각해 이 2가지를 비교하면서 이해해보자.
인증 : 사용자의 신원을 검증하는 행위
인가 : 사용자에게 특정 리소스나 기능에 접근할 수 있는 권한을 부여하는 행위
인증은 보안 프로세스에서 첫번째 단계이며 다음과 같은 방법들이 존재한다.
- 비밀번호 : 사용자 이름과 비밀번호는 가장 많이 사용되는 인증 요소이다. 사용자가 해당 데이터를 올바르게 입력하면 시스템은 이를 판단해 접근을 허용한다.
- 생체인식 : 사용자가 시스템에 접근하기 위해 지문이나 망막 스캔등을 제출해야 한다.
이 밖에도 다양한 인증 방식이 존재하지만, 현재 우리가 다룰 인증 방식은 사용자의 이름과 비밀번호를 활용한 방식이기에 이후 추가적으로 알아보도록 하자.
인가는 인증이 선행된 이후, 인증이 완료된 사용자에게 특정 권한을 부여하는 행위이다. 대표적으로 서버에서 특정 파일을 다운로드할 수 있는 권한을 부여하거나, 개별 사용자에게 관리자 권한으로 애플리케이션에 접근할 수 있도록 권한을 부여하는 경우가 여기에 해당된다.
보안 환경에서 권한 인증은 항상 인증 이후에 진행되어야 한다. 사용자가 먼저 자격 증명을 입증하면 관리자가 해당 사용자에게 요청한 자원에 접근할 수 있는 권한을 부여한다.