인증/인가 점검

[byhhh2]

안전한 인증/인가 방식은 뭘까요?

[byhhh2]

with @JUDONGHYEOK @EastHShin

우선 인증/인가의 방식에는

1. 세션과 쿠키를 이용한 인증
2. accessToken을 이용한 인증
3. accessToken + refreshToken을 이용한 인증

대표적으로 3가지가 있다.

우선 1번을 보자.
세션ID를 쓰면 계속 세션ID를 서버측 DB에서 확인해야 되는데 이도 부담이다. (또 서버에서 세션 저장소를 사용해서 추가적인 저장공간이 있어야한다.)

2번을 보자.
accessToken은 세션ID와 달리 서버에 저장소가 필요없다. 그냥 token을 검증만 하기 때문이다.
근데 accessToken은 서버에서 저장하는 것이 아니기 때문에 유효기간을 중간에 끝내지를 못한다.
이런 이유로 만약 accessToken이 탈취됐을 때 해결할 수 있는 방법이 없다.

3번을 보자.
accessToken이 탈취됐을때 해결할 수 있는 방법이 없으므로
accessToken 만료까지의 시간을 짧게 준다. 그런데 이렇게 되면 문제가 있다.
사용자가 로그인을 이전에 했음에도 불구하고 시간이 조금만 지나도 웹 사이트는 사용자를 기억하지 못한다.
그렇기 때문에 refreshToken을 사용한다.
refreshToken으로 accessToken을 갱신해서 사용자의 로그인이 해제되지 않도록 해서 사용자 경험을 증진시키는 것이다.

모팀네 방식을 생각해보면
새로고침할 때마다 refreshToken만을 통해 accessToken을 발급받는다.
이유는 accessToken을 JS 변수에 저장하기 때문이다.
이유는 accessToken을 쿠키에 httpOnly로 저장하면 XSS는 막을 수 있겠지만 CSRF는 막을 수 없다.

근데 JS 변수에 accessToken을 저장하면 로그인을 유지할 수 없다. 이를 위해 사용하는 것이 refreshToken이다.
근데 여기서 생각했을 때 refreshToken을 어디에 저장하냐는 것이다.
우선 모 팀은 httpOnly cookie를 통해 refreshToken을 저장했다. 이유는 refreshToken은 탈취되어도 괜찮기 때문이었다. CSRF를 통해 탈취한 refreshToken으로는 accessToken을 발급받을 수 없다. 가 이유이다. 요즘 웹 사이트는 허용하지 않은 Origin이면 요청을 받지 않는다. 그러므로 CSRF 공격자는 Origin을 진짜 웹 사이트로 위장할 것이고 accessToken을 담은 응답은 Origin으로 갈 수 밖에 없다는 것이다.

이런 이유로 accessToken을 JS 변수에, refreshToken을 httpOnly cookie에 저장했다고 한다.

모 팀은 이 방법이 보안적으로 가장 적절했다고 했다.
하지만 이 방법의 단점은 처리해줘야 하는 예외가 있고(인증이 필요한 부분은 accessToken을 가져오는 API가 끝나고 렌더링을 해야된다던가.), 새로고침 혹은 페이지를 처음 접속했을 때마다 accessToken을 가져오는 요청을 기다려야하는 것이 문제라고 했다.

현재 우리팀은 localStorage에 accessToken과 refreshToken 둘을 저장한다.
중요한 것은 이게 문제가 되냐다.

1. react에서는 XSS 공격을 막아준다.
2. localStorage를 사용하면 CSRF 공격을 막을 수 있다.

문제는 1번이다.
XSS가 그렇게 단순한 문제가 아니라는 것이다. (즉, react가 모든 XSS 공격을 막아줄 수는 없다.)

react가 XSS을 해결하는 방식

• 특정 문자를 원래의 기능에서 벗어나게 변환하는 행위를 이스케이프(Escape)라고 한다.
• 예시 : <은 &It;
• React DOM은 JSX에 삽입된 모든 값을 렌더링하기 전에 이스케이프한다.
• 렌더링하기 전 이스케이프된 모든 값은 브라우저에선 입력한 그대로 보이지만, HTML 본연의 태그나 스크립팅 기능이 제거가 되기 때문에 XSS를 방지할 수 있다.

하지만 JSX에 삽입하는 것이 아닌 SVG 파일 등을 업로드할 때는 이스케이프가 되지 않으므로 문제가 생길 수 있다. 또 SVG 파일 업로드를 막는다고 해도 XSS를 하려는 공격자의 시도는 여러가지가 될 것이다.

현재는 웹 사이트에서 할 수 있는 일이 한정적이고 단순하기 때문에 localStorage에 token을 저장한다고 해도 보안적으로 문제가 될 수 있는 부분이 없다고 판단하여 현재 방식을 유지하기로 결정했다. 하지만 추후에 변경해야한다는 필요성이 생기면 변경할 예정이다.

• 추가 이슈 : 로그인 풀리는 문제 해결

참고

• https://onlydev.tistory.com/78
• https://velog.io/@gusdnr814/로그인-인증-4가지-방법