인증(Authentication)

• 어떤 개체(사용자 또는 장치)의 신원을 확인하는 과정
  • 개체는 보통 어떤 인증요소를 증거로 제시하여 자신을 인증합니다.
  • ex) 은행에 가서 돈을 인출하려면 은행직원은 당신이 누구인지 확인하기 위해 신분증을 제시해 달라고 요청할 수 있음 → 인증

인가(Authorization)

• 어떤 개체가 어떤 리소스에 접근할 수 있는지 또는 어떤 동작을 수행할 수 있는지를 검증하는 것
  • 접근 권한을 얻는 일을 뜻함

<aside> 💡 인증은 인가로 이어지지만 인가는 인증으로 이어지지 않음

</aside>

• 신원증명이 접근 권한을 승인하기에 충분하다고 해도, 즉 무언가를 얻는데 인가를 받을 수 있다고 해도 인가가 항상 개체를 식별하는 데 사용할 수 있는 게 아님

  ex) 공연티켓은 신원 세부사항을 담고 있지 않아 입장할 권리만 나타낼 뿐 그 외의 다른 무엇도 아님 → 인가로 개체 식별 불가능

Session 인증 방식

session은 두개로 나뉘며 하나는 Client에게 발급되고 하나는 Server에 저장한다.

• Client에게 발급되는 JSessionID는 Cookie에 저장 되고 Server측은 Session 영역에 저장된다.
• Client측 Cookie에 저장된 jsessionID와 Server측에 저장된 Session jsessionID를 맞춰보는 과정이며 request 요청 시 서로의 세션을 맞춰서 하나로 합쳐야 인증됨

아이폰 및 아이패드로 접근할 때 로그인 알림이 뜨거나 한쪽의 로그인이 튕기는 이유가 위와 같은 세션방식의 인증 과정 때문에 발생

• 서버쪽에서 세션 정보를 들고 있어서 로그인을 해제하거나 알림을 띄울 수 있는 것이 장점

[ 장점 ]

• 세션은 인증 제어를 할 수 있다.
  • 로그인 못하게 막는 것이 가능함
• 개인 정보에 안전하다.
  • 로그인 된 정보만 담겨있고 개인정보는 담겨있지 않음

[ 단점 ]

• Server의 부담이 매우 크다

  • 관련 서버를 여러개 만들어야 하는데 모든 서버와 공통화가 되어 있는것이 아니라 서버마다 가지고 있는 세션 정보가 달라서 세션클러스터링 작업이 필요함 → Client측에서 보낸 session 조각을 서버마다 다 맞춰봐야 함

    (세션 클러스터링이란, 여러개의 서버가 한가지 업무를 수행하도록 설정하는 것)

  • round-robin 방식으로 맞춰보며 L4스위치 또는 로드밸런서가 제어를 하며 작업 시 세션클러스팅 작업을 한다.

<aside> 💡 따라서, 학습용 프로젝트 진행 시 WAS 서버가 1대여서 세션의 단점이 없고 보완성이 있는 세션 인증 방식을 채택함

</aside>