쿠키-세션에서 JWT로: 안전하고 효율적인 로그인/인증 시스템 아키텍처 설계

핵심 기술

기존의 쿠키-세션 기반 Stateful 인증 방식에서 발생하는 서버 부하 및 확장성 문제를 JWT(JSON Web Token)를 활용한 Stateless 인증 방식으로 전환하여 안전하고 효율적인 로그인 및 인증 시스템을 설계하는 방법을 다룹니다.

기술적 세부사항

• 기존 쿠키-세션 방식의 문제점:
  • 매 요청마다 세션 생성 또는 접근 및 유효성 검사로 인한 서버 부하 증가.
  • Stateful 아키텍처로 인한 확장성 제약.
• 클라이언트 저장소 비교:
  • Cookie: samesite, httpOnly 옵션으로 XSS, CSRF 방어에 유리.
  • Local Storage: 브라우저 종료 후에도 유지, 개발자 직접 제거 전까지 보존.
  • Session Storage: 브라우저 탭별 구분, 브라우저 종료 시 자동 삭제.
• XSS vs CSRF 방어:
  • Local/Session Storage: CSRF 방어 가능하나 XSS에 취약.
  • Cookie: samesite 및 httpOnly 설정으로 XSS, CSRF 모두 방어 가능.
• JWT (JSON Web Token):
  • Signature 검증을 통해 DB 접속 없이 인증 보장 (Stateless).
  • 구조: Header, Payload (Registered, Public, Private Claims), Signature.
  • 동작 방식: 서버에서 생성된 JWT를 클라이언트에 전달, 클라이언트는 요청 시 JWT를 Authorization 헤더에 포함하여 전송, 서버는 Signature 검증으로 인증.
• JWT 저장 전략 (보안 및 효율성 고려):
  • Access Token: 클라이언트 In-Memory 저장 (짧은 만료 시간, XSS 방어 목적).
  • Refresh Token: Cookie에 samesite, httpOnly, secure 설정하여 저장 (긴 만료 시간, Access Token 재발급용).
• 토큰 발급 및 재발급 흐름:
  • 로그인: Access Token (JSON 응답), Refresh Token (Cookie).
  • 권한 필요한 요청: Authorization 헤더에 Access Token 포함.
  • 토큰 만료 시: 클라이언트가 Refresh Token을 사용하여 /api/auth/refresh API 호출, 새로운 Access Token 및 Refresh Token 발급.
  • 새로고침 시: In-Memory Access Token 휘발, Cookie의 Refresh Token으로 재발급.
  • Refresh Token 유효하지 않을 경우: 재로그인 유도.
• 최종 설계 결론:
  • 토큰에 민감 정보 저장 금지.
  • Access Token은 클라이언트 In-Memory 저장.
  • Refresh Token은 보안 옵션 설정된 Cookie에 저장.
  • 권한 요청 시 Authorization 헤더에 Access Token 명시적 전달.

개발 임팩트

• 서버의 DB I/O 부하 감소 및 성능 향상.
• Stateless 아키텍처 전환을 통한 시스템 확장성 증대.
• XSS, CSRF 등 일반적인 웹 공격에 대한 보안 강화.
• 사용자 경험 측면에서 로그인 유지 관리의 효율성 증대.
• 복잡한 인증 로직을 표준화된 JWT 방식으로 관리 가능.

커뮤니티 반응

(원문에 커뮤니티 반응에 대한 언급이 없어 생략합니다.)