JWT 구현 제가 제대로 한게 맞는지 .. 아리송합니다. 조언좀 부탁드립니다.

hardware more

쓰기

JWT 구현 제가 제대로 한게 맞는지 .. 아리송합니다. 조언좀 부탁드립니다.

김제연

2019-01

2019-01-14 10:32:24

조회 2232 추천 0

기존 php 사이트를 node.js 로 바꾸면서 .api 서버를 두고

API 만 처리 하도록 하고 .. 인증을 JWT로 바꾸었습니다..

근데 세션이랑 JWT로그인 방식중 JWT 방식은.. db 요청을 줄이고

세션으로 인한 메모리 낭비 같은게 없으니 장점으로 보고 작업을 했습니다.

그런데 이게 사용하고 보니까 .. 좀 아리송한 부분이 있습니다.

기본적으로

아이디 권한 사용자 타입 이렇게 3개를 JWT로 보내고 있습니다.

클라이언트에서 서버로 뭔가를 하려고 토큰을 보내서 받은뒤

뭔가를 하려면.. 일단 user 정보를 쿼리 해와야 합니다.. 3개 가지고는 할 수 있는게

로그인된 사용자냐 아니냐만 확인 가능하니까요 ..

결국 node.js 는 요청이 왔을때 사용자 정보를 다시 요청해서 req.user 같은곳에 따로

등록을 해줘야 합니다.. 이러다 보니 api 서버에서 ... 사용자가 api 를 요청 할때마다

사용자 정보 가져와서 req.user 에 등록을 해줘야 하는데 ..

이럴꺼면.. 그냥 세션이 더 낫지 않나 싶은 생각이 드는데요 .. 일단 방법이 없으니

만들고 있긴 한데 .. 원래 이런게 맞는건지..

아니면 잘못하고 있는건지 궁금합니다. 조언 부탁 드립니다.

짧은글 일수록 신중하게.



henol 2019-01 제 경우는 JWT는 아니지만 브라우저에 계속 남기고 싶은 데이터를 localstorage 에 저장해서 빼서 쓰는 것을 구현했었습니다. 제 경우는 JWT는 아니지만 브라우저에 계속 남기고 싶은 데이터를 localstorage 에 저장해서 빼서 쓰는 것을 구현했었습니다.



김제연 2019-01 로컬에서 쓰는거면 말씀하신데로 하면 되는데 .. 서버쪽에서 api 요청이 왔을경우 .. 만약 저 상황에서 .. 회사에 소속된 주문을 조회 한다고 하면.. 결구 JWT 요청 -> 정상 사용자 맞는지 확인 -> 사용저 정보 조회-> req.user 에 등록 -> 쿼리문에서 req.user 에 등록된 정보를 바탕으로 쿼리 세션에서는 그냥 -> 사용자 인증 및 사용자 정보 조회 -> 쿼리문에서 세션값 그데로 사용 이렇게 되면 세션이 더 간단하고 부하가 없을것 같아서요 . 로컬에서 쓰는거면 말씀하신데로 하면 되는데 .. 서버쪽에서 api 요청이 왔을경우 .. 만약 저 상황에서 .. 회사에 소속된 주문을 조회 한다고 하면.. 결구 JWT 요청 -> 정상 사용자 맞는지 확인 -> 사용저 정보 조회-> req.user 에 등록 -> 쿼리문에서 req.user 에 등록된 정보를 바탕으로 쿼리 세션에서는 그냥 -> 사용자 인증 및 사용자 정보 조회 -> 쿼리문에서 세션값 그데로 사용 이렇게 되면 세션이 더 간단하고 부하가 없을것 같아서요 .



꿀벌l최인혁 2019-01 부연하면 JSON Web Token 은 아시는대로 헤더(알고리즘,타입), 페이로드(데이타), 검증코드(해시)로 이루어 집니다. 내용 자체는 대부분 base64로 인코딩되어있어서 복호화하면 내용은 그대로 노출되는 편이고, 단지 해시코드가 각 사이드에서 가지고 있는 동일한 개인키로 메시지가 정상적으로 만들어졌는지 여부를 '검증'할수 있다고 해서 사용하기에, 보안에 민감하지 않은 정보를 간단한 방법으로 무결한 메시지라고 표현하는데 주안점을 둬야 합니다. 서버쪽에서 유저ID로 처리에 필요한 사용자데이터를 지속적으로 쿼리를 할수밖에 없는 구조라면 좀더 유용한 정보를 보안에 지장없이 추가적으로 담아서 쿼리를 줄일수 있는지 검토가 필요하지 않을까 합니다. JWT 원래목적대로 간단한 방법으로 검증코드만 확인해서 해당 메시지가 진짜 인증해준 사용자가 요청했는지/아닌지 여부만 가지고 동작을 실행시키는 업무로직이라면 믿고 수행해도 됩니다. 부연하면 JSON Web Token 은 아시는대로 헤더(알고리즘,타입), 페이로드(데이타), 검증코드(해시)로 이루어 집니다. 내용 자체는 대부분 base64로 인코딩되어있어서 복호화하면 내용은 그대로 노출되는 편이고, 단지 해시코드가 각 사이드에서 가지고 있는 동일한 개인키로 메시지가 정상적으로 만들어졌는지 여부를 '검증'할수 있다고 해서 사용하기에, 보안에 민감하지 않은 정보를 간단한 방법으로 무결한 메시지라고 표현하는데 주안점을 둬야 합니다. 서버쪽에서 유저ID로 처리에 필요한 사용자데이터를 지속적으로 쿼리를 할수밖에 없는 구조라면 좀더 유용한 정보를 보안에 지장없이 추가적으로 담아서 쿼리를 줄일수 있는지 검토가 필요하지 않을까 합니다. JWT 원래목적대로 간단한 방법으로 검증코드만 확인해서 해당 메시지가 진짜 인증해준 사용자가 요청했는지/아닌지 여부만 가지고 동작을 실행시키는 업무로직이라면 믿고 수행해도 됩니다.

로그인 하시면 댓글을 남길 수 있습니다

쓰기

QnA

쓰기

1403/5680

번호	제목Page 1403/5680	글쓴이	날짜	조회	추천
	[필독] 처음 오시는 분을 위한 안내 (726)	정은준1	2014-05	4946458	0
[필독] 처음 오시는 분을 위한 안내 (726) 2014-05 4946458 1 정은준1
	(광고) 단통법 시대의 인터넷가입 가이드(ver2.0) (228)	백메가	2015-12	1483115	25
(광고) 단통법 시대의 인터넷가입 가이드(… (228) 2015-12 1483115 1 백메가
85553	클러스터에 붙힐 스토리지 스펙과 10G 네트워크 관련 질문 (32)	소음공장	2019-12	3168	0
클러스터에 붙힐 스토리지 스펙과 10G 네… (32) 2019-12 3168 1 소음공장
85552	rclone copy시 터미널 꺼도 되나요? (3)	witniss	2019-12	3235	0
rclone copy시 터미널 꺼도 되나요? (3) 2019-12 3235 1 witniss
85551	개인서버 돌리시는분들께 문의 드립니다~ (8)	서버공부	2011-11	5420	0
개인서버 돌리시는분들께 문의 드립니다~ (8) 2011-11 5420 1 서버공부
85550	파일서버 병목 그 이후 (13)	버팔로윙	2019-12	3409	0
파일서버 병목 그 이후 (13) 2019-12 3409 1 버팔로윙
85549	윈도우8 고스트백업 추천부탁드립니다. (9)	공돌이에요	2016-07	4920	0
윈도우8 고스트백업 추천부탁드립니다. (9) 2016-07 4920 1 공돌이에요
85548	Chrome으로 TLS 미적용된 사이트에서 다운로드시 경고 꺼버릴 수 있나요? (7)	dateno1	06-12	1314	0
Chrome으로 TLS 미적용된 사이트에서 다운… (7) 06-12 1314 1 dateno1
85547	리눅스 스왑파티션 (4)	나파이강승훈	2014-02	6319	0
리눅스 스왑파티션 (4) 2014-02 6319 1 나파이강승훈
85546	hp z6 g4인데 이 포트 용도가 궁금합니다. (5)	맑은부철	2018-10	3861	0
hp z6 g4인데 이 포트 용도가 궁금합니다. (5) 2018-10 3861 1 맑은부철
85545	Cpu fan 의 소음 해결법? (10)	애월남	2021-03	2901	0
Cpu fan 의 소음 해결법? (10) 2021-03 2901 1 애월남
85544	컴퓨터 50대이상을 안정적으로 버텨줄 공유기가 필요합니다 (9)	피카	2014-02	6344	0
컴퓨터 50대이상을 안정적으로 버텨줄 공… (9) 2014-02 6344 1 피카
85543	타오바오 직구방법?? (5)	이원재K	2016-07	6481	0
타오바오 직구방법?? (5) 2016-07 6481 1 이원재K
85542	델 t7910 이랑 HP z840 비교 (8)	MLbioinfo	2015-06	6203	0
델 t7910 이랑 HP z840 비교 (8) 2015-06 6203 1 MLbioinfo
85541	리눅스 디스크 마운트 질문 드립니다. (4)	winner712	2022-11	1496	0
리눅스 디스크 마운트 질문 드립니다. (4) 2022-11 1496 1 winner712
85540	모니터 잘 아시는분 게신가요? (2)	이해찬	2016-07	3350	0
모니터 잘 아시는분 게신가요? (2) 2016-07 3350 1 이해찬
85539	아수스 보드의 익스페레스 게이트 .. (5)	2CPU최주희	2016-07	4234	0
아수스 보드의 익스페레스 게이트 .. (5) 2016-07 4234 1 2CPU최주희
85538	아주 짧은 랜선에 관해 질문드립니다. (11)	블루스맨	2022-11	1666	0
아주 짧은 랜선에 관해 질문드립니다. (11) 2022-11 1666 1 블루스맨
85537	graphic 성능비교?(Dual core onborad VGA vs intel 4th I5) (2)	집안청소	2014-03	3680	0
graphic 성능비교?(Dual core onborad VGA… (2) 2014-03 3680 1 집안청소
85536	지상파 방송 수신 질문이 있습니다. (8)	spndisk	2022-11	1251	0
지상파 방송 수신 질문이 있습니다. (8) 2022-11 1251 1 spndisk
85535	윈도우7사용자인데요..특정폴더암호거는유틸머없나요? (2)	백승철	2012-01	7872	0
윈도우7사용자인데요..특정폴더암호거는유… (2) 2012-01 7872 1 백승철
85534	회원님들중 "부러진 화살" 보신분 계신지요 (1)	2CPU최주희	2012-01	4886	0
회원님들중 "부러진 화살" 보신… (1) 2012-01 4886 1 2CPU최주희