ID 공급자: 토큰 기반 인증이란 무엇입니까?
토큰 기반 인증은 사용자가 고유 액세스 토큰을 대가로 자신의 ID를 확인하는 인증 프로토콜입니다. 그러면 사용자는 자격증명을 다시 입력할 필요 없이 토큰 수명 동안 웹 사이트나 애플리케이션 또는 리소스에 액세스할 수 있습니다.
토큰 기반 인증은 어떻게 작동합니까?
토큰 기반 인증은 사용자가 일반적으로 암호나 보안 질문을 사용하는 시스템, 기기 또는 애플리케이션에 로그인하면서 시작합니다. 인증 서버는 이 초기 인증의 유효성을 검사한 다음 액세스 토큰을 발급합니다. 액세스 토큰은 클라이언트 애플리케이션이 API 서버에 보안 호출이나 신호를 보낼 수 있도록 하는 작은 데이터 조각입니다.
토큰 기반 인증은 서버에 두 번째 고수준 보안 보장 방식을 제공하여 사용자 신원 및 요청의 신뢰성을 확인함으로써 작동합니다.
초기 토큰 기반 인증 프로토콜이 완료되면 토큰은 스탬프 티켓처럼 작동합니다. 사용자는 토큰 수명 주기 동안 재인증 없이 관련 리소스에 계속해서 원활하게 액세스할 수 있습니다. 해당 수명 주기는 사용자가 앱을 로그아웃하거나 종료하면 만료되며 설정된 시간 제한 프로토콜에 의해 트리거될 수도 있습니다.
토큰 기반 인증의 이점은 무엇입니까?
토큰 기반 인증은 여러 이해 관계자에게 다음과 같은 많은 이점을 제공합니다.
- 원활한 사용자 경험: 자격증명을 다시 입력하고 시스템, 앱 또는 웹 페이지로 돌아올 때마다 다시 인증하는 대신, 사용자는 토큰이 유효한 한(일반적으로 로그아웃하거나 종료하여 세션이 만료될 때까지) 원활한 액세스를 유지합니다.
- 추가된 디지털 보안: 토큰 기반 인증에는 기존의 암호 기반 인증 또는 서버 기반 인증에 추가 보안 계층을 추가합니다. 토큰은 일반적으로 암호보다 훔치거나 해킹하거나 손상시키기가 훨씬 어렵습니다.
- 관리자 제어: 토큰 기반 인증을 통해 관리자는 각 사용자 작업과 거래에 대해 더욱 세분화된 제어와 가시성을 확보할 수 있습니다.
- 기술 부담 경감: 토큰 생성은 토큰 인증에서 완전히 분리될 수 있으므로, Entrust ID 및 액세스 관리 솔루션에서 제공하는 것과 같은 보조 서비스에서 인증을 처리할 수 있습니다. 이렇게 하면 내부 서버와 장치의 부하를 크게 줄입니다.
액세스 토큰이란 무엇입니까?
액세스 또는 인증 토큰은 사용자에게 장치나 애플리케이션 또는 기타 디지털 리소스에 대한 액세스 권한을 부여합니다. 오늘날 사용할 수 있는 토큰의 유형은 매우 다양합니다.
하드웨어 토큰
하드웨어 토큰은 사용자가 리소스에 액세스하기 위해 제시하는 소형의 물리적 장치입니다. 하드웨어 토큰은 연결식(예: USB, 스마트 카드, 일회용 암호 전자 열쇠)이거나 비접촉식(예: Bluetooth 토큰)일 수 있습니다. 이러한 토큰은 사용자가 휴대합니다. 토큰 기반 인증 초기(스마트폰 이전)에는 하드웨어 토큰만이 유일한 옵션이었습니다. 그러나 하드웨어 토큰은 상대적으로 비용이 많이 들고 분실 및 도난의 위험이 있으며 결과적으로 더 많은 IT 지원이 필요한 경우가 많습니다.
소프트웨어 토큰
연결 해제된 토큰이라고도 하는 소프트웨어 토큰은 완전 비접촉식이며 어디에서나 ID를 인증할 수 있습니다. 현재 소프트웨어 토큰의 가장 일반적인 예는 스마트폰을 사용하여 2단계 인증(2FA), 다중 인증(MFA), JSON 웹 토큰을 지원하는 모바일 애플리케이션입니다. 소프트웨어 토큰은 비용 절감, 사용자 마찰 감소, 분실 또는 도난 가능성 감소, 중간자 공격 위험 감소 등의 장점이 있는 토큰 기반 인증에서 지배적으로 선택되고 있습니다.
오픈 소스 또는 JSON 웹 토큰의 구성 요소
JSON 웹 토큰은 다음 세 부분으로 구성됩니다.
- 헤더: 토큰 및 암호화 알고리즘의 유형
- 페이로드: 지정된 리소스에 대한 인증 자격증명
- 서명: 페이로드의 신뢰성을 확인하기 위한 암호화 키
토큰 기반 인증을 어떻게 구현합니까?
토큰 기반 인증 프로토콜을 구현하는 5가지 주요 단계는 다음과 같습니다.
- 요청: 사용자가 로그인 자격증명을 입력합니다.
- 인증: 서버에서 사용자의 자격증명을 확인합니다.
- 토큰 제출: 서버에서 설정된 기간 동안 유효한 토큰을 생성합니다.
- 스토리지: 토큰은 나중에 사용할 수 있도록 사용자의 웹 브라우저에 저장됩니다.
- 만료: 토큰은 지정된 기간 동안 활성 상태를 유지합니다.
토큰 기반 인증은 언제 권장됩니까?
암호 또는 서버 기반 인증이 보안 요구 사항을 충족하기에 부족한 경우도 많습니다. 그러나 토큰 기반 인증의 추가 보안, 제어 및 사용자 편의성이 특히 유용한 상황을 보여주는 몇 가지 특성이 있습니다.
- 임시 액세스 권한을 자주 부여하는 시스템/리소스: 사용자 기반이 일별 또는 시간별로 크게 달라지는 경우, 임시 사용자 액세스 권한을 부여한 다음 취소하는 기존 프로토콜은 시간과 비용과 기술이 지나치게 많이 소모될 수 있습니다. 토큰은 안전하고 원활한 임시 액세스를 위해 동적이고 민첩하며 비용 효율적인 솔루션을 제공할 수 있습니다.
- 세분화된 액세스 제어가 필요한 시스템/리소스: 문서의 특정 부분에만 액세스 권한을 부여하거나 특정 편집 또는 사용 권한을 부여하는 등 훨씬 더 세분화된 수준으로 액세스를 제어해야 하는 경우, 암호 기반 인증에서는 이를 수행할 수 없습니다. 토큰 기반 인증은 이처럼 훨씬 더 세부적인 권한과 더욱 세분화된 관리 제어에 이상적입니다.
- 해킹 또는 손상 위험이 높은 시스템/리소스: 특히 민감하거나 가치 있고, 보호가 필요한 정보가 디지털 리소스에 포함되어 있는 경우 토큰 기반 인증은 암호 기반 인증보다 단계를 훨씬 강화합니다.
- 엄격하게 규제되는 시스템/리소스: 마찬가지로 데이터 프라이버시 규정 요건 또는 기타 규정에 의해 보호되는 민감한 정보가 디지털 리소스에 포함되어 있는 경우, 해당 규정은 기본적인 암호 이상으로 인증을 설정해두었을 가능성이 높습니다. 토큰 기반 인증이 올바르게 구성되어 있다면 고수준 보안 보장을 위한 규정 준수 요건을 충족할 수 있습니다.
고수준 보안 보장 토큰 기반 인증에 대한 모범 사례
확실히 토큰 기반 인증은 기존의 암호 기반 인증보다 주류이지만 토큰은 여전히 "소지자(bearer) 토큰"으로 간주됩니다. 즉, 토큰을 보유한 사람에게 액세스 권한이 부여되는 것입니다. 이는 모바일 애플리케이션과 같은 소프트웨어 토큰도 여전히 도난 또는 손상될 수 있음을 의미합니다. 악의를 가진 사람이 토큰을 소유하게 되면 해당 토큰을 사용하여 보호된 리소스 및 정보에 무단으로 액세스할 수 있습니다. 여전히 존재하는 손상과 침해 위험으로부터 보호하려면 다음 모범 사례를 기반으로 토큰 기반 인증 프로그램을 구축하는 것이 중요합니다.
- 토큰 기밀 유지: 사용자는 하드웨어든 소프트웨어든 토큰을 보안 자격증명처럼 취급해야 합니다. 즉 분실이나 도난을 방지하기 위해 토큰은 안전하고 견고하게 저장되어야 하며 절대 공유될 수 없고, 검증된 서비스에만 공개되어야 합니다.
- 토큰 페이로드 간소화: 토큰은 최소한의 정보만 사용하여 사용자를 인증하도록 설계되었습니다. 인코딩되는 동안 악의적인 공격자에 의해 쉽게 디코딩되기도 합니다. 이러한 이유로 토큰 페이로드 내에 민감하거나 보호되는 정보를 배치하지 않아야 합니다. 그리고 페이로드에 대한 클레임을 최소화하는 것을 목표로 합니다. 이렇게 하면 속도/성능 향상에도 도움이 될 것입니다.
- 토큰 만료 정의 및 토큰 해지 활성화: 토큰은 일반적으로 사용자가 로그아웃하거나 강제 종료할 때 자동으로 만료되도록 설정됩니다. 그러나 이러한 세션 종료 트리거가 없으면 기본적으로 서명된 토큰에는 기본 제공되는 만료 기능이 없습니다. 손상을 방지하려면 모든 토큰에 기본 만료를 설정하고 필요 시 토큰을 취소하기 위한 프로토콜을 마련해두어야 합니다.
- 항상 HTTPS 연결 사용: 보안되지 않은 연결을 사용하면 전송 중에 토큰을 가로채고 훔치기가 매우 쉽습니다. 토큰 인증 서버와 토큰을 주고받을 때 항상 HTTPS 연결을 사용하십시오.
- 추가 계층 또는 추가 보안 고려: 보안 요건에 따라 기본 토큰 기반 인증 외에 보안 및 인증 프로토콜을 추가해야 할 수 있습니다. 예를 들어 일부 사용 사례에서는 특별히 모든 토큰이 올바른 서버에서 생성되도록 보장하는 두 번째 토큰 인증 시스템을 추가합니다.