JWT 구현 제가 제대로 한게 맞는지 .. 아리송합니다. 조언좀 부탁드립니다.

쓰기

JWT 구현 제가 제대로 한게 맞는지 .. 아리송합니다. 조언좀 부탁드립니다.

김제연

2019-01

2019-01-14 10:32:24

조회 2278 추천 0

기존 php 사이트를 node.js 로 바꾸면서 .api 서버를 두고

API 만 처리 하도록 하고 .. 인증을 JWT로 바꾸었습니다..

근데 세션이랑 JWT로그인 방식중 JWT 방식은.. db 요청을 줄이고

세션으로 인한 메모리 낭비 같은게 없으니 장점으로 보고 작업을 했습니다.

그런데 이게 사용하고 보니까 .. 좀 아리송한 부분이 있습니다.

기본적으로

아이디 권한 사용자 타입 이렇게 3개를 JWT로 보내고 있습니다.

클라이언트에서 서버로 뭔가를 하려고 토큰을 보내서 받은뒤

뭔가를 하려면.. 일단 user 정보를 쿼리 해와야 합니다.. 3개 가지고는 할 수 있는게

로그인된 사용자냐 아니냐만 확인 가능하니까요 ..

결국 node.js 는 요청이 왔을때 사용자 정보를 다시 요청해서 req.user 같은곳에 따로

등록을 해줘야 합니다.. 이러다 보니 api 서버에서 ... 사용자가 api 를 요청 할때마다

사용자 정보 가져와서 req.user 에 등록을 해줘야 하는데 ..

이럴꺼면.. 그냥 세션이 더 낫지 않나 싶은 생각이 드는데요 .. 일단 방법이 없으니

만들고 있긴 한데 .. 원래 이런게 맞는건지..

아니면 잘못하고 있는건지 궁금합니다. 조언 부탁 드립니다.

짧은글 일수록 신중하게.



henol 2019-01 제 경우는 JWT는 아니지만 브라우저에 계속 남기고 싶은 데이터를 localstorage 에 저장해서 빼서 쓰는 것을 구현했었습니다. 제 경우는 JWT는 아니지만 브라우저에 계속 남기고 싶은 데이터를 localstorage 에 저장해서 빼서 쓰는 것을 구현했었습니다.



김제연 2019-01 로컬에서 쓰는거면 말씀하신데로 하면 되는데 .. 서버쪽에서 api 요청이 왔을경우 .. 만약 저 상황에서 .. 회사에 소속된 주문을 조회 한다고 하면.. 결구 JWT 요청 -> 정상 사용자 맞는지 확인 -> 사용저 정보 조회-> req.user 에 등록 -> 쿼리문에서 req.user 에 등록된 정보를 바탕으로 쿼리 세션에서는 그냥 -> 사용자 인증 및 사용자 정보 조회 -> 쿼리문에서 세션값 그데로 사용 이렇게 되면 세션이 더 간단하고 부하가 없을것 같아서요 . 로컬에서 쓰는거면 말씀하신데로 하면 되는데 .. 서버쪽에서 api 요청이 왔을경우 .. 만약 저 상황에서 .. 회사에 소속된 주문을 조회 한다고 하면.. 결구 JWT 요청 -> 정상 사용자 맞는지 확인 -> 사용저 정보 조회-> req.user 에 등록 -> 쿼리문에서 req.user 에 등록된 정보를 바탕으로 쿼리 세션에서는 그냥 -> 사용자 인증 및 사용자 정보 조회 -> 쿼리문에서 세션값 그데로 사용 이렇게 되면 세션이 더 간단하고 부하가 없을것 같아서요 .



꿀벌l최인혁 2019-01 부연하면 JSON Web Token 은 아시는대로 헤더(알고리즘,타입), 페이로드(데이타), 검증코드(해시)로 이루어 집니다. 내용 자체는 대부분 base64로 인코딩되어있어서 복호화하면 내용은 그대로 노출되는 편이고, 단지 해시코드가 각 사이드에서 가지고 있는 동일한 개인키로 메시지가 정상적으로 만들어졌는지 여부를 '검증'할수 있다고 해서 사용하기에, 보안에 민감하지 않은 정보를 간단한 방법으로 무결한 메시지라고 표현하는데 주안점을 둬야 합니다. 서버쪽에서 유저ID로 처리에 필요한 사용자데이터를 지속적으로 쿼리를 할수밖에 없는 구조라면 좀더 유용한 정보를 보안에 지장없이 추가적으로 담아서 쿼리를 줄일수 있는지 검토가 필요하지 않을까 합니다. JWT 원래목적대로 간단한 방법으로 검증코드만 확인해서 해당 메시지가 진짜 인증해준 사용자가 요청했는지/아닌지 여부만 가지고 동작을 실행시키는 업무로직이라면 믿고 수행해도 됩니다. 부연하면 JSON Web Token 은 아시는대로 헤더(알고리즘,타입), 페이로드(데이타), 검증코드(해시)로 이루어 집니다. 내용 자체는 대부분 base64로 인코딩되어있어서 복호화하면 내용은 그대로 노출되는 편이고, 단지 해시코드가 각 사이드에서 가지고 있는 동일한 개인키로 메시지가 정상적으로 만들어졌는지 여부를 '검증'할수 있다고 해서 사용하기에, 보안에 민감하지 않은 정보를 간단한 방법으로 무결한 메시지라고 표현하는데 주안점을 둬야 합니다. 서버쪽에서 유저ID로 처리에 필요한 사용자데이터를 지속적으로 쿼리를 할수밖에 없는 구조라면 좀더 유용한 정보를 보안에 지장없이 추가적으로 담아서 쿼리를 줄일수 있는지 검토가 필요하지 않을까 합니다. JWT 원래목적대로 간단한 방법으로 검증코드만 확인해서 해당 메시지가 진짜 인증해준 사용자가 요청했는지/아닌지 여부만 가지고 동작을 실행시키는 업무로직이라면 믿고 수행해도 됩니다.

로그인 하시면 댓글을 남길 수 있습니다

쓰기

QnA

쓰기

1408/5686

번호	제목Page 1408/5686	글쓴이	날짜	조회	추천
	[필독] 처음 오시는 분을 위한 안내 (727)	정은준1	2014-05	4976972	0
[필독] 처음 오시는 분을 위한 안내 (727) 2014-05 4976972 1 정은준1
	(광고) 단통법 시대의 인터넷가입 가이드(ver2.0) (228)	백메가	2015-12	1513074	25
(광고) 단통법 시대의 인터넷가입 가이드(… (228) 2015-12 1513074 1 백메가
85567	레이드 0 으로 묶인 SSD 라이트온 제품 2개 들어간 노트북인데...너무 속도가 느립니… (6)	늘파란	2016-09	4030	0
레이드 0 으로 묶인 SSD 라이트온 제품 2… (6) 2016-09 4030 1 늘파란
85566	NFS, 빠르게 할 방법이 없을까요? (1)	jake	2015-09	3982	0
NFS, 빠르게 할 방법이 없을까요? (1) 2015-09 3982 1 jake
85565	구형 USB 웹캠 드라이버 문제 (11)	FloppyDiskette	2021-07	3476	0
구형 USB 웹캠 드라이버 문제 (11) 2021-07 3476 1 FloppyDiskette
85564	알리에서 상품주문건?(급) (7)	BigData007	2017-10	3571	0
알리에서 상품주문건?(급) (7) 2017-10 3571 1 BigData007
85563	미성년자 국민연금 가입 + 청약저축 가입 (11)	화란	2023-02	1433	0
미성년자 국민연금 가입 + 청약저축 가입 (11) 2023-02 1433 1 화란
85562	\| 타자 칠때 쉬프트 키 어느쪽것 사용하나요? (12)	겨울나무	2015-10	5632	0
\| 타자 칠때 쉬프트 키 어느쪽것 사용하나… (12) 2015-10 5632 1 겨울나무
85561	[질문] 3PAR OEM HGST DISK를 서버에 사용 가능 하게 만드는 방법(사례금 지급 예정) (2)	라이크유	2021-07	1974	0
[질문] 3PAR OEM HGST DISK를 서버에 사용… (2) 2021-07 1974 1 라이크유
85560	CH341A Programmer 로 바이오스 칩 복사하기 질문드립니다. (10)	별이쨔잔	2016-10	7333	0
CH341A Programmer 로 바이오스 칩 복사하… (10) 2016-10 7333 1 별이쨔잔
85559	모니터 Dell Professional vs UltraSharp (3)	사랑하라	2021-07	3007	0
모니터 Dell Professional vs UltraSharp (3) 2021-07 3007 1 사랑하라
85558	윈8 에서 윈7 시스템 관리자 계정 접속시... (3)	akfalles	2014-06	5539	0
윈8 에서 윈7 시스템 관리자 계정 접속시.… (3) 2014-06 5539 1 akfalles
85557	HP P410 레이드 설정 복원방법 (4)	o홍준기o	2016-10	6593	0
HP P410 레이드 설정 복원방법 (4) 2016-10 6593 1 o홍준기o
85556	dl180 g6 ilo kvm 접속방법 (2)	YunSeong	2020-03	2515	0
dl180 g6 ilo kvm 접속방법 (2) 2020-03 2515 1 YunSeong
85555	알리에서 RFID writer 한개 장난감겸 사볼려고하는데 제품 추천부탁드립니다. (8)	캡틴아메리카노	2020-03	3508	0
알리에서 RFID writer 한개 장난감겸 사… (8) 2020-03 3508 1 캡틴아메리카노
85554	SATA RAID 모드 일때와 AHCI 모드일 때 성능차이 있는 건가요? (11)	SLALqHD	2021-08	15630	0
SATA RAID 모드 일때와 AHCI 모드일 때 성… (11) 2021-08 15630 1 SLALqHD
85553	듀얼 모니터에서 두번째 모니터 인식을 못해요. (11)	시골집노안	2019-02	10443	0
듀얼 모니터에서 두번째 모니터 인식을 못… (11) 2019-02 10443 1 시골집노안
85552	OpenWRT 네트워크 대역폭문제. (10)	페트릭	2023-03	1870	0
OpenWRT 네트워크 대역폭문제. (10) 2023-03 1870 1 페트릭
85551	x5690 터보부스트? (4)	motion	2015-10	5286	0
x5690 터보부스트? (4) 2015-10 5286 1 motion
85550	네트워크 설정에 대한 질문입니다. (3)	이천풍	2019-02	2531	0
네트워크 설정에 대한 질문입니다. (3) 2019-02 2531 1 이천풍
85549	veeam 백업 에러 질문드립니다. (4)	osthek83	2020-04	2430	0
veeam 백업 에러 질문드립니다. (4) 2020-04 2430 1 osthek83
85548	용량이 다른 두개의 하드디스크 클론 (10)	수필처럼	2015-10	26907	0
용량이 다른 두개의 하드디스크 클론 (10) 2015-10 26907 1 수필처럼