Data/0320.txt

얘 안녕하세요 포프 입니다 으 잠깐만 볼 은 좀 그리고 스피커 예 에
포프 입니다
으 오늘은 jwt 토큰 에 대해서 말하려고 해요
jw 토큰 잠깐만 이게 무슨 역자 있지 아 어제 있어 웹 토큰이 구나
[음악]
점에서 자바 웹 토큰 잃을 뻔 했네
제이썬 자체가 자바스크립트에서 나온거 기 때문에
아 이게 뭐냐면 음 최근에 제가 이제
아오 프라이드 커넥트 서버를 만들려고 하면서
아머 얻어라 이제 이 션 하고 임 어센틱 에이션 이 다른 거잖아요 그래서
그거 이제 고민하다가 이제 뭐 제 os 에서 하지 않는 그런 부분까지
되죠 오픈 id 컨텐트가 해주니까
그런 부분을 고민하다가 뭐 센 티 케이 션 토큰 어때야 되고 떠라 주셔도
큰 어때야 되고
마이런 여러가지를 보다가 그때 봉 게이지 jw et 토큰 일하고 있어요
뭐지 보면은 제가 뭐 웹 쪽을 완벽히 전문으로 되게 오래 한 사람은
아니니까
아 잘 이미 나와 있던걸 제가 제대로 모르고 있었던 것 같은데
jwc 토큰을 보면서 이제 아 이거 를 무슨 뭐 뭐라 그러지
아주 오픈 id 카세트에 쓸 수 있겠구나 os 쪽 토큰이 아니라 아
그래서
쓸 수 있겠구나 5센티 케이션 용어로 쓸 수 있겠구나 생각을 하다가
갑자기 그런 생각이 든 거예요 아니 그러면 왜 jwt 자체를
엑세스 토큰 으로서 써도 되지 않을까 그니까 이제
음 어 스토크 이라고 해야 되겠다 식은 정확해 가면 os 에 보면 이제
5 옷으로 이제 뭐 i drop 일본어로 오이는 하거나 그러면 어 토큰을
주잖아요
그래서 저희는 저는 야 없어서 토큰 이라고 부르는데 아마 정확한 이름은
어스 토큰 인것 같아요 었으니까 없어 라이 디 션 토큰 인것 같아요
아 그러면 은 보통 지금 현재 그 이 설명을 하려면
좀 많아 지는구나 갑자기
os 가 왜 나왔고 뭐 억세스 토큰을 가져와서 뭐 배워 로 토큰을
가져와서 다른 소스를 히팅 하는 이런게 왜 낳은 집의 약간 설명을 해 낼
것 같은데 너무 길어질 것 같아 아이가 싫어 줘
자 간략하게 설명을 하면 이건 것 같아요
이제 저는 이제 뭐 반드시 이게 연관이 있는가 에 저는 연관시켜서 많이
보고 있거든요
그 저희가 보통 하는 웨스트 풀 서비스 라는 게 있잖아요 그대로 웨스트
폴 서비스에서는 기본적으로
아 모든 까 한번 내가 호출 했을때 그 호출 하나하나가 독자적인 호출
해야 된다
위 소스를 가져오거나 리소스를 업데이트 하거나 독자적인 호출 이어야
하지만 서버 쪽에 세션과 같은걸 유지 안하고 스테이트 를 유지 안하고
계속 내가 필요한 걸까
뭐 리소스에 접근할 수 있다는게 기본적으로 제거했을 때 뿌리 많이 각광을
받는 이유 라고 생각을 해요
이게 왜 필요하냐 하면 한마디로 만약에 제 서비스의 사람이 굉장히 많이
몰린다고 가정을 해 봐요
뭐 동접 이안 1만 명 정도다
그런데 서버 하나로 버틸 수 있는 방법이 없잖아요 그래서 서버를 여러 대
2구 돌려야 되는데 이럴 것 스케 이라고 하는데 그럼 여기서 문제가
되는게 옛날처럼 서버사이드 세션을 쓰게 되면 은 처음 유저가 로그인할 때
서버 a 에서 그 유저 로그인 정보를 가지고 있고 그 다음에 유저가 따른
리퀘스트를 마켓 오 in 은 이미 한번 로그인 햇던 애라는 걸 내가 서버
쪽에서 세션으로 두고 있기 때문에 그냥 접근과 나는 계속 주는 거죠
그래서 이게 어찌 보면 옛날에
음 스케일러 b 러블리 티를 크게 고려하지 않은 방법 중에 하나였다고
생각을 해요
그러다가 이제 서버가 2개가 되면 은 서버 가 2개가 됐으니까 아 이제
갑자기 막 노드가 몰리면 서버 b 로 얘 나이 양쪽으로 보내주게 로드
밸런싱을 하면 되는데 문제는 서버가 이제 로그인 했을때 유저가 서버 가
세션으로 들고 있잖아요
서버 a 가 네 그 다음이 퀘스트가 서버 피로가 면은 로그인이 안되는
상태이기 때문에 다시 로그인을 하라고 나올 수가 있었던 거죠 그래서 그걸
제대로 관리 하려고 했 중에 하나 썼던거 는 이제 스티키 세션 이라고
해서 로드 밸런스 에서 일단 이 유저 브라우저가 a 로 한번 보냈다면
아무리 로드가 막 몰리고 난리가 나도 유저의 이 만큼은 서버 a 로
보내는 거지
그래서 계속 한쪽 세션으로 보내 스티키 세션 이란게 있었고 아니면 그
세션 정보를 db 에 저장하는 방법이 있었는데
옛날엔 트러스 티켓 사셔서 많이 썼어요 간단하니까
이제 웨스트 브레 서의 문제는 그냥 이 칵 100 cp 콜 하나가
어찌보면 그리 소스로 업데이트 뭐 하거나 가져오거나 뭐 딜리트 하거나
이런거를 하나의 아톰 리액션으로 봐 주는 건데 그렇게 는 서버가 막 수천
관계가 있으면 그 중 하나만 가면 상관이 없다는 개념이 이어야 되거든요
이제 배치 탭 콘 하나하나마다 아예 를 로그인 할 순 없잖아요
예 이야기가 유저 id 가 이고 패스워드가 읽으니까 로그인한 다음에
이렇게 해 줘 라고 할 수 없으니까
그 대신에 처음에 로그인 할때는 이제 유즈 패스 오다가 아이디를 받아오고
그러나 이게 유저 id 하고 패스워드가 많이 맞고 그리고 지금 이해가
로그인 하면서 이런 이런 이런 이 소스를 쓰고 싶다고 활용 했으니까 그
리소스의 관한 할 수 있는 아트 특별한 토큰을 주겠다는 얘기예요 이거는
어떻게 보면은
아 어느 할 어느 정도 시간 동안 아 빨리 대한 키의 요 그러니까 그
2대가 만약에 보통 뭐 이거를 모구 이들을 주는 법도 있고 해시 스트링을
주는 법도 있는데 예를 들어서 내가 로그인 했을때 않아 이 정보의 예를
들어서 이메일에 접근하고 13 하고 싶어 라는 권한을 주면 은 그거 에
해당하는 x 스토커를 주는거죠 뭐 예를 들어 토크 abcd 어따
그럼 그 다음부턴 나는거 e 메일 서버에서 내 이메일 가져와 이메일
뭐 보내 이메일지원 라고 하는 이제 hp 레스트 코르 쏘면서 헤더에 었어
라이즈 헤더에 이 억세스 토건 a b c d 만 넣어주면 은 이제
이쪽에서 그 토큰을 보고 아 얘가 e 메일 계정에 접근할 권한이 있구나
라고 해서 관한 을 그냥 쓰는 거에요
아 그러니까
뭐라 그럴까 그리고 이 토큰은 보통 2시간이 있죠 뭐 60분 안에 써야
된다 건가 뭐 이런 개념들이
그래서 몇 분 뒤에 0v 의 노브 아웃되고 이런 개념이 있는건데
이것을 보통 뭐 어쨌든 간에 어째서 토큰 있으면 서버를 여러 개 줄 수
있다는 건 좋아요 그냥 2조 서버가 어디에 있든 아무리 스케일을 해든
그냥 그 서버란 가면 되니까
서버 뒤쪽에서 차에 문제가 뭐냐면 애가 로그인해서 이 토큰을 받았고 이
토큰이 60분 동안 만 사용이 가능하다는 정보를 어딘가에는 저장을 해
놔야 돼요
그래서 굉장히 단순하게 저장을 해 두면 그냥 sql db 의
적어놓은 되죠 i 유저 id 가 아이 어캐 스토크 있고 접근권한 뭐
스코프 라고도 하게 라고 클레임 이라고도 하죠 요즘은 뭐 스코프나
클레임이 이 거고
이게 만료되는 시간은 여기까지 라는걸 db 에 박아두고
모든 웹서버에 리퀘스트 볼 때마다 그 액세스 토큰 db 를 읽어서 아
얘가 지금 권한이 있나 없나 ex 토큰이 어느 아직까지 권한이 있는건지
보고 있으면 허용을 하고 아니면은 미색을 해버리는 스타일이 였거든요
이제 문제는 결과적으론 액세스 토큰을 db 에서 확인을 해야 되기 때문에
서버를 아무리 수만 개 수천 개를 들려도 결과적으로 db 가 보틀 내기
될수밖에 없어요 뭐 딥 을 리플리 케이트 하고 위드 온리 로 만들고
이런 먹도 있지만 결과적으론 보틀 애기 조금씩은 생길 수밖에 없다는 거죠
그러면 그걸로 또 해결하기 위해서 뭐 이제 뭐 매디슨 아 이런 계열의
이제 약간 맨 캐쉬 같은 그런 스토리를 만들고 거기에다가 x 스토커는
박아두고 뭐 이제 확인 하면 되는거니까
그리고 이것은 메모리 에만 존재하는 거니까 무슨 뭐 x 파이어 내리 를
타임을 제대로 집어 넣어주면 그 뒤엔 또 스톤이 사라지기도 하니까 db
에서 매뉴얼 하게 언젠가 지워 줘야 하는 것보다는 좀더 나은 방법이지만
역시 dbu 엘의 디스 설치 해야 되고 여러 가지를 여러개 설치하다 보면
은 서비스는 폐 일할 부분이 많아 지는 거에요 포인트 5패 일러가
많아지기 때문에 역시 뭐 뭐 많이들 그런데 아실은 요즘은 뭐 아주 훌륭한
방법이라고 하기는 좀 그렇죠 여러가지 설치해야 될 것도 많고
어찌보면 이제 웹 개발이 한동안 그냥 서버 1 와 db 않아 로 완성이
되는 그런 시스템이 없다가 가면 갈수록 이제 이런저런 문제를 해결하기
위해서 새로운 것들을 도입을 하는데 뭐 굉장히 스케일이 크지 않은
곳이라면 db 에서 만 해도 충분한 것 같아요
4 sk 커지기 시작하면 이제 그 때부터 복잡해 지지만
한 가지 여기서 하고 싶은 또 우리의 말은 그 새로운 기술 나온다고 필요
없는데 계속 이렇게 쓰시는 분들도 있거든요 않은 것 뭐 래디슨 나왔다고
해서 쓰고
근데 정말 필요한 것 아니면 은 안쓰는게 차라리 나은 것 같아요 처음에는
나중에 그게 문제가 되면 점점 바꿔 가면 되는 거지
어쨌든 뭘 원래 얘기로 돌아와서
그래서 어쨌든 x 스토커는 발행하는 방법도 그다지
이렇게 뭐 괜찮은 방법인데 역시 문제는 있었어요 그러다가 이제
j 떠올리 틱 토큰을 보고 느낀게 뭐냐면 은
jwt 토크는 토큰 정보가 그냥 제 2선으로 만들어져 있어요
이제 있어 4 만들어서 이걸 또 이제 아까처럼 헤더 파일에 놓거나 일어
거든요
그럼 그 제이썬 을 만든 다음에 그것을 모베이스 60 64 로 인코딩
하거나 이래 같고 그냥 인코딩을 해 버려요
그러면 이걸 디코딩 하는 순간 제 2 써니 나오니까
근데 재밌는 것 jw 뒤에는 파트가 3개가 있어요
j 떠올리 t 않으면 파트가 3개가 있어요 왜냐면 헤더가 있고 이거는 뭐
이제 이 wet 토큰에 대한 정보 줘
여기서 해쉬 스트링은 못쓸 것 막 이런 것들 그리고 두번째가 이제
페이로더 라고 해서 실제 토큰 정보를
그리고 세 번째 파트가 이 첫번째 두번째 를 합쳐 갖고 해쉬 를 돌린
값이 예요
그니까 해지를 전에 얘기했지만 보안 얘기하다가 똑같은 인풋이 들어오면
언제나 합시 값은 같아야 되게 되거든요 그래서 이 세가지를 만들어서
이것을 다 베이스 6t 포레 인크루트 해놨고 처음 헤더를 배씩 트포 잉크
l 하고 다 타나 찍고 두번째 페이로드 부분은 또 베이스 6d 브링크
옵션 하고 또 막 집어 해놓고 또 다 타나 찍고 그 다음에 마지막에 원래
아까 해수 깐 만들었던 거 있죠
그거를 마지막에 같이 넣어 줘 그럼 이게 재미있는 게 뭐냐 이 토큰
정보에는 이 토크 x2 jw 토큰에 는 그냥 아 이게 엑스코 디아민
주는게 아니라 실제 그 안에 아 얘가 어떤 리소스에 대한 권한이 있는지
까지 써있어요
이렇게 제이썬 이유가 그래요 그래서 페이로드 안에
아 이렇게 적혀 있는거죠 뭐 아 이거는 누구한테 발급된 거며 실제
누구한테 발급된 토큰 이란 정보도 있기 때문에 이게 os 를 넘어서 이제
아 뭐지
오픈 id 커넥트 여 쓰는 그런 토큰을 쓸 수가 있는 거 제가 이름을
짰다 헷갈리는데
제 생각에는 5 버스에 쓰는게 어서 라이즈 액션 토큰이 고
그리고 오프라인 클래스에서 추가로 추가 한계 나 어 센 티 케이 션
토큰이 거에요 그래서 하나는 뉴스에 이제 거너 접근 권한이 있다 그게
os 가 원래 주는 거고
오픈 itu-t 에서 추가한 또 와 또 다른 포크는 아 이게 정말 아 이
토큰을 사용할 수는 정당한 사용자 달하는 그런 그 아이덴티티 케이션 까지
증명하는 부분이거든요
그래서 오픈 id 커넥트 가 그래서 os 플러스 그 분까지 해서 새로운
이제 약간 스펙 으로 거듭나고 있는 이유이기도 한데 어쨌든 여기에
누구한테 발급된 지 적혀 있고 여기서 애가 아이가 이메일 ex2 s
토큰으로 는 이메일도 접근할 수 있고 모모 유튜브 접근할 수 있고 이런게
다 적혀 있는 거예요 그럼 우리가 생각하기엔 그렇잖아요
아니 이거를 제이썬 파일로 가지고 있고 베이스 엑스포 잉크 이런게
전문대에 이것 이 헤더에 들고 있으면 2가지 크리트 한 다음에 여기다
유저가 주지 않았던 권한을 마구 추가해서 다시 인크루트 에서 보내며 는
서버에서는 그냥 5
이 권한이 인내 그리고 주는 거냐 말이 안되지 않냐 라는 얘길 해요
근데 그게 아니에요 좀 마지막 파트가 이거를 뭐랄까 어떻게 얘기해야 될까
증명하는 그런 조건을 하는거예요 아까 마지막에 그랬잖아 첫 번째 과 두
번째 있어 늘 가져다가 아 잉 크립 트 를 한 않으니까 뭐 해쉬 를
만들거나 뭐야 하고 마지막에 만들어낸 스트링 이라는거
근데 그 해 슈의 쓰는 이제 키는 서버 쪽에서 만 가지고 있는 거예요
왜냐하면 서버 에서 처음 을 만들어가고 보내 줬으니까
이걸 키를 하나 할 수 비실이는 퍼블릭 하고 풀업 익힐 쓰는 법도 있지만
모건 중요한 건 아니고 그래서 만약에 내가 이것을 서버 에서 로그인해서
가져왔어
jw 토큰을 그러고 봐서 아 중간에 페이로드 내맘대로 바꾼 거예요
아 나는 이제 eu 저한테 막 딜리트 까지 할 수 있는 권한까지 대
멈춰야 지르고 들여 찍어놓고 토큰을 넣어서 보내면 서버 에서 그 처음 두
파트를 가지고 다시 한번 횟수를 만들어 보는 거에요 그래서 그 애쉬가
맞아 파 타고 다르면 아이고 조작되는 토큰이 구나
그래서 어 권한이 없음을 가 돌려 줘 버리는 거에요 그래서 이거는 되게
재밌는 게 뭐냐면 예전에는
음 이런 모든 권한이 어디까지 이고 이런걸 서버에 저장해 놓고 얏호 큰
보내 내가 판단해서 db 긁어서 판단해서 아니면 리 자 칼 게 라고 하는
순간 db 를 그 거야 되는 문제가 있었는데
j 떠올리 토큰을 쓰면 은
jewett 스토크 넥스트 콜러 쓰는게 아직 일반적인 건 아니에요
근데 제가 생각하다가 아 찾아 또 딴데서 한군데서 걸 하고 있는것 발견한
거죠 그래서 이 이게 맞 jw dti 옹 가 그런 웹사이트에서 얘기 할
거에요 그래서 다시 얘기로 돌아가면
그렇게 해서 이제 토큰을 받은 다음에 이 토큰을 제가 이제 나중에 따른
이메일에 접근할 때 토큰을 같이 보내 주는 거에요 어센틱 페어 서로
에디션 토큰으로 이제 헤더에
그럼 서버 에서 않아요 서버 에서 첫번째 두번째 를 뜯은 다음에 이제
훨씬 그 옵션을 해봐요 그리고 세 번째가 같은지 확인해 어간 4
위조된 거 아니네 이 토크 닉스 파이어레드 지금까지 괜찮네
그러면 오케이 접근을 허용 해주는 거에요 그거 접근 권한이 있음 없음 을
db 에 저장이 되는 게 아니라 제이썬 파일을 저장해 둔 뭐라 그러지 거
암호 아주 법이라 그러죠
암호화 알고리즘의 의존해서 이 토큰이 변했는지 안 변하는 지를 판단하는
방법이죠
물론 이제 암호화를 깰 수 있는 기술이 발전하고
아 막 그러면 이것을 다 뭐 하러 깬다면 키를 찾는 다음에 그거에 맞는
이제 잉크 액션에서 보내는 법도 있을 거예요 보면 그렇죠 그 그래서 이제
언젠가는 깨질 수 있는 기법 이기도 한데 중요한 것은 이제 jw 토큰을
이제 액세스 토큰을 쏘는 사람들은
접근 시간을 되게 짧게 만드는 경우가 흔해 요
왜냐하면 은 이제 그런 크리션 키 같은게 이제 또 256bit 까지 가면
은 아무리 컴퓨터가 빨라도
뭐 깨 쓰인 데 걸리는 시간이 있거든요 아 그래서 어떤 경우는 악의 5분
6분 을 하는 경우도 있고 뭐 길어도 60분 미만일 것 같은데 어
스토커 d 버튼 60 뿐이니까 그래서 차라리 이게 깨지더라도
문제가 어깨끈 어깨 벗 없게끔 오히려 그 뭐라 그럴까
아
그 시간 아 그 알 그 시간 뭐라 그러죠 타임 투 리브 아닌데
x 파일 에 이어 2 x 파일 데 시간을 짧게 주는 거죠 그래서 그냥
보면서
이걸 장점은 뭐냐면 서버 는 일단 여러대를 뛰어 짜 나요
뭐 만들기도 1000만 대를 띄었던 그래서 우리가 그 서버를 주 서버를
다 히트 할 때 이 서버에서 이사람이 과연 올바른 권한이 있냐 없냐는
판단할 때 db 를 히트 하지 않아도 되기 때문에 더 이상의 버튼 애기
존재하지 않아요 그래서 어찌보면 위 소스 후를 하는 경우 에서는
굉장히 괜찮은 아이디어 처럼 생각이 들었어요 아 이렇게만 된다면 일단
최소한 dvd 트 하거나 아니면 뭐 엑세스 관리 잇는거 확인을 그냥
cpu 상에서만 해결이 되니까 우리가 앉아 나겠구나 그 생각을 많이 했던
거죠
대 실제 아까 말한 것처럼 뒤지다보니 뒤지다 보니까
jw et io 라는 웹 사이트 가보면 걔들이 이제 모든 x 토큰에
이렇게 쓰고 있더라고요 그래서 아 봤구나 거기 읽으면서 많은거 되었고
아 이제
x 토큰을 이제 발급해야 되는 그런 위치에 있는 서비스 중에서 아주
심각하지 않은 서비스 있잖아요
은행이나 이런거 좀 약간 애매 하기도 하는데 그런게 아닌 서비스들은 음
이렇게 쓰면 되지 않을까 생각이 되요 근데 어차피 은행
이런데도 막 os 토큰 쓰고 시작하면 어차피 뭐 중간에 스토커 넘친다 며
60% 에 쓰는 이런 문제도 있기 있긴 하지만 모든 간의 그렇게 심각한
서비스가 아니 금연은 제가 올 때면 jwt 로 가는게 서버 부하를
줄이는데 도움이 되지 않을까 나중에 그냥 스케일러 비트로 올라가 확장을
한데 좋지 않을까 생각이 들고
금 이제 한 가지 질문이 있어요 그래서 만약에 예가 깨지는 어떡하냐 정말
깨었을 때 어떡하냐
그럼 그 때는 블랙리스트 를 만드는 법이 있을 것 같아요
지금까지는 액세스 토큰이 모든게 와이트 리스트 했잖아요 서버에 접속하면
내가 엑세스 토큰 을 만들어주고 서버 에 정한 다음에 넌 이거에 매치 할
때만 내가 허락해 줄 거야 라고 했는데 지금은 그랬어 보려면 할까 그냥
스토커를 주고
만약에 애가 중간에 뭔가 문제가 생겼다는 것을 판단이 된다면 그 순간에
블랙리스트 를 올리면 되지 않을까 싶어요 그럼 이제 db 에 블랙리스트
올려놓고 이제
뭐랄까
이제 다음의 리퀘스트 가 올 때마다 이게 블랙리스트 테이블에 있냐 없냐
확인하면 되는 것이 사실 그 시간동안
그러면 일단은 db 테이블에 들어가는 토크 수도 굉장히 적으니까 실제
현재 존재하는 살아 있는 토큰 중에서 뭐 블랙리스트 러 갈게 솔직히
얼마나 되겠어요 1% 2%
그러면 그게 이제 예전의 y 트리스탄은 것보다는 한 100분의 1로 주는
거죠 그래서 그런 방식으로도 충분히 그니까 지금 하고 있는 x 토큰의
방식을 그대로 흉내 낼 수 있지 않을까 생각이 들어요
그래서 그 정도면 이제 제가 jw 해서 봤던게 충분한 것 같고 그냥
뭐라 그럴까 음 엔지니어로서 굉장히 재밌는 토큰 이다
아 암호화 기법의 의존에서 토큰의 벨 2 da el et 를 빨리 그리드
패리티
그 토큰의 u 하면 아님을 증명하고 옛날에 서버에 다 우즈 했던것을
그렇게 했고
아
아
점점 스케일러 비틀의 신경쓰는 요즘 세상에서
아 좀 더 도움이 되는 토크 인 다는 생각을 했어요 그래서 저도 가능하면
이걸 좀 더 쓰고 싶단 생각을 많이 하고
음 아직 뭐 제가 오픈 id 커넥트 서버로 완성한 시켰기 때문에 확실히
개표 간 어떻게 될지 모르겠어요 그냥 x 토 콩 카트가 만드는 분들
계시면 한번 쯤 이런 방법도 생각해 봤으면 좋겠다는 거 에서 비디오로
만들었어요 그래야
음 오늘도 유익한 웹 개발 자료 5
포프 팀인 아예 여기서 끈 초 뽑혔습니다