🥗 Spring Security_토큰-세션-쿠키-JWT 에 대하여

#공부 #Java #SPRING #Security #Tokken #Session #Cookie

Spring Security , 토큰 , 세션, 쿠키, JWT 각각 무엇인가?

1. Spring Security

개요

Spring Security는 Spring 기반 애플리케이션에서 인증(Authentication)과 권한 부여(Authorization)를 제공하는 강력한 보안 프레임워크입니다.
다양한 보안 요구사항(예: HTTP 인증, OAuth2, JWT 등)을 처리할 수 있도록 확장 가능합니다.

기본 기능

인증(Authentication):
- 사용자가 애플리케이션에 접근하기 전에 신원을 확인.
- 일반적으로 사용자 이름과 비밀번호를 기반으로 인증.
권한 부여(Authorization):
- 인증된 사용자가 애플리케이션의 특정 리소스나 작업에 접근할 수 있는지 확인.
보안 필터:
- 요청과 응답을 처리하기 위한 필터 체인을 제공.
- 요청이 필터 체인을 통과하면 보안 정책이 적용됨.
확장성:
- OAuth2, JWT, LDAP 등 다양한 인증 방식과 통합 가능.

AOP 필터와 Security 필터의 차이점

항목	AOP 필터	Spring Security 필터
적용 범위	특정 클래스, 메서드 (비즈니스 로직).	HTTP 요청 및 응답 (클라이언트-서버 통신).
적용 대상	Spring Bean 내부의 로직.	HTTP 요청의 URL, 헤더, 파라미터 등.
동작 시점	메서드 실행 전후, 또는 특정 조건에서 동작.	HTTP 요청/응답이 처리되는 중간 단계.
주요 목적	로깅, 트랜잭션 관리, 예외 처리 등 공통 관심사 처리.	인증 및 권한 부여 처리.
구성 요소	Advice, Pointcut, Join Point.	Filter Chain, Authentication, Authorization.
프록시 사용 여부	런타임 프록시를 통해 메서드 호출 시점에 개입.	HTTP 요청의 필터 체인을 통해 요청 처리에 개입.
작업 단위	비즈니스 로직 레벨.	HTTP 요청 레벨.
예시	메서드 실행 전후 로깅, 트랜잭션 시작/종료.	JWT 검증, 사용자 세션 인증, OAuth2 인증

2. Token

개요

토큰(Token)은 인증 정보를 포함하는 문자열로, 클라이언트와 서버 간 인증 및 권한 부여를 간편화합니다.
사용자가 인증을 완료하면 서버가 토큰을 발급하고, 클라이언트는 이후 요청에 토큰을 포함하여 인증을 유지합니다.

특징

무상태성:
- 토큰은 상태 정보를 포함하므로 서버가 세션을 유지할 필요 없음.
- 클라이언트가 모든 요청에 토큰을 포함하여 서버로 전송.
토큰 종류:
- Bearer Token: 요청 헤더에 포함되어 인증.
- Refresh Token: Access Token이 만료되었을 때 재발급에 사용.

3. Session

개요

세션(Session)은 사용자가 서버에 접속한 동안 유지되는 상태 정보입니다.
서버는 클라이언트의 각 요청을 식별하기 위해 세션 ID를 생성하고, 이를 클라이언트에 제공.

작동 방식

사용자가 로그인하면 서버가 고유한 세션 ID를 생성.
세션 ID는 클라이언트의 쿠키에 저장.
이후 요청에서 클라이언트는 세션 ID를 포함하여 서버로 전송.
서버는 세션 저장소(Session Store)에 저장된 정보를 기반으로 클라이언트를 식별.

특징

상태 유지:
- 서버는 클라이언트별로 상태 정보를 유지.
확장성 문제:
- 서버가 클라이언트별로 상태를 저장하므로 대규모 확장성이 떨어질 수 있음.

4. Cookie

개요

쿠키(Cookie)는 클라이언트 브라우저에 저장되는 데이터 조각으로, 서버와 클라이언트 간 정보를 유지하기 위해 사용.

작동 방식

서버가 응답에 쿠키를 설정하면 클라이언트는 쿠키를 저장.
클라이언트는 이후 요청에 저장된 쿠키를 자동으로 서버에 포함.
서버는 쿠키를 기반으로 요청을 처리.

특징

키-값 쌍:
- 쿠키는 key=value 형태로 저장.
보안 옵션:
- HttpOnly: 자바스크립트를 통해 접근 불가.
- Secure: HTTPS 요청에서만 전송.
유효 기간:
- 쿠키는 만료 시간이 지나면 자동 삭제.

1. 저장소의 차이

항목	세션(Session)	쿠키(Cookie)
저장 위치	서버 측 저장소: 세션 데이터는 서버에 저장됩니다.	클라이언트 측 저장소: 쿠키는 클라이언트(브라우저)에 저장됩니다.
데이터 크기	서버 메모리 또는 외부 저장소(Redis, DB 등) 크기에 따라 제한 없음.	일반적으로 4KB 크기 제한이 있음.
보안성	상대적으로 안전: 클라이언트는 세션 ID만 알고 데이터는 서버에 저장.	비교적 덜 안전: 쿠키가 클라이언트에 저장되므로 탈취 가능.

5. JWT (JSON Web Token)

개요

JWT는 JSON 형식으로 인코딩된 토큰으로, 클라이언트와 서버 간 인증 정보를 안전하게 전달하기 위해 사용.
무상태 인증 방식에서 많이 사용됨.

구조

JWT는 세 부분으로 구성:

Header:
- 토큰 타입(JWT)과 알고리즘(HMAC, RSA 등) 정보를 포함.
- 예: {"alg": "HS256", "typ": "JWT"}
Payload:
- 토큰에 포함된 클레임(Claim) 정보를 포함.
- 예: {"sub": "user123", "role": "admin"}
Signature:
- Header와 Payload를 비밀키로 서명하여 생성.
- 예: HMACSHA256(base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)

작동 방식

사용자가 로그인하면 서버가 JWT를 생성하여 클라이언트에 전달.
클라이언트는 이후 요청에서 JWT를 Authorization 헤더에 포함.
서버는 JWT를 검증하여 사용자를 인증.

특징

자체 포함(Self-contained):
- JWT는 인증 정보와 사용자 정보를 모두 포함.
무상태성:
- 서버는 JWT를 저장하지 않으므로 확장성이 뛰어남.
보안:
- 서명(Signature)을 통해 변조를 방지.
- 그러나 암호화되지 않은 Payload는 누구나 읽을 수 있음.

비교

항목	Session	JWT
상태 유지	서버에서 상태를 유지 (세션 저장소 필요).	서버는 상태를 유지하지 않음.
보안	세션 ID 탈취 시 위험.	서명으로 변조 방지 가능, Payload는 암호화되지 않음.
확장성	서버가 상태를 관리하므로 확장성에 한계.	서버 상태 유지 불필요 → 높은 확장성.
사용 예	전통적인 웹 애플리케이션.	SPA, 모바일 앱 등 무상태 인증 필요 시.

3. 주요 차이점

특징	JWT 기반 권한 관리	DB 기반 권한 관리
상태 관리	무상태 (Stateless).	상태 유지 (Stateful).
권한 정보 저장 위치	클라이언트(JWT Payload에 포함).	서버(DB에 저장).
실시간 반영	어려움: 토큰에 포함된 권한 정보가 업데이트되지 않음.	가능: DB에서 최신 권한 정보를 조회.
요청 처리 속도	빠름: 서버는 토큰 검증만 수행.	상대적으로 느림: DB 조회가 필요.
확장성	높음: 상태를 유지하지 않으므로 서버 확장이 용이.	낮음: 상태 관리 및 DB 요청이 증가하면 부하가 발생.
보안	Payload가 암호화되지 않아 권한 정보가 노출될 가능성 있음.	서버와 DB에서만 관리되므로 민감한 데이터 보호에 유리.
구현 복잡도	상대적으로 간단: 토큰 생성 및 검증만 구현.	복잡: DB와 서버 상태 동기화가 필요.

JWT의 장점

상태 정보 저장 없음:
- 서버는 클라이언트의 상태 정보를 유지하지 않습니다.
- 즉, 서버는 이전 요청에 대한 정보를 기억하지 않고, 요청마다 필요한 인증 정보를 다시 받아야 합니다.
클라이언트 책임:
- 인증 정보(예: JWT 토큰)는 클라이언트가 관리합니다.
- 클라이언트는 매 요청마다 서버에 인증 정보를 제공해야 합니다.
확장성:
- 서버 간 상태 동기화가 필요 없으므로 수평 확장이 용이합니다.
- 로드 밸런싱을 사용하는 다중 서버 환경에서 적합.

6. 요약

Spring Security:
- 인증과 권한 부여를 처리하는 보안 프레임워크.
- 세션, 쿠키, 토큰(JWT 포함)과 통합 가능.
Token:
- 인증 정보를 포함한 문자열.
- 서버-클라이언트 간 무상태 인증을 위해 사용.
Session:
- 서버가 클라이언트별 상태 정보를 유지.
- 확장성이 낮지만 단순한 구조.
Cookie:
- 클라이언트에 저장되는 작은 데이터 조각.
- 세션 ID 또는 JWT 저장에 사용.
JWT:
- JSON 형식의 자체 포함 토큰.
- 무상태 인증 및 높은 확장성을 제공.