흔한 authentication 메커니즘(session, JWT, OAuth)에는 무엇이 있나요?

Question

Accepted Answer

현대 애플리케이션은 다양한 **authentication 메커니즘**을 사용합니다 — session 기반, token 기반(JWT), 위임 authentication(OAuth/OpenID Connect). 각각의 작동 방식과 트레이드오프를 이해하는 것은 안전한 authentication을 구현하는 데 중요합니다.

## Session 기반 authentication

```text
SESSION 기반(전통적):
  → 사용자 로그인 → 서버가 SESSION 생성(서버 측 저장) → session ID 쿠키 전송 →
    브라우저가 매 요청마다 전송 → 서버가 session 조회
  ✓ 서버가 session 제어(폐기 용이); 단순; 쿠키 자동 전송
  ✗ stateful(서버가 session 저장); 확장하려면 공유 session 저장소 필요
```

## Token 기반 (JWT)

```text
JWT (JSON Web Token):
  → 사용자 로그인 → 서버가 클레임(사용자 id 등)을 담은 SIGNED token 발급 →
    클라이언트가 저장 → 매 요청마다 전송(보통 Authorization 헤더) →
    서버가 SIGNATURE를 VERIFY(서버 측 조회 불필요)
  ✓ STATELESS(확장 용이; session 저장소 불필요); API/SPA/모바일에 적합
  ✗ 만료 전 REVOKE가 어려움(자체 완결적) → 짧은 만료 + refresh token 사용
  ⚠️ 안전하게 저장; (읽을 수 있는) payload에 secret을 넣지 마라; 제대로 검증
```

## OAuth 2.0 / OpenID Connect

```text
OAUTH 2.0 → 위임 AUTHORIZATION("Google/GitHub로 로그인"):
  → 사용자가 앱에 password를 공유하지 않고 제3자를 통해 인증하게 함
  → 앱은 허용된 리소스에 접근할 token을 받음(scope 적용)
OPENID CONNECT (OAuth 위에) → AUTHENTICATION(신원) 추가 → SSO/소셜 로그인 표준
→ 신뢰된 제공자에 인증 위임; 사용자가 또 다른 password를 만들지 않음.
```

## 왜 중요한가

흔한 authentication 메커니즘을 이해하는 것이 중요한 이유는 **authentication이 대부분의 애플리케이션에 근본적**이며, 그것을 올바르게 선택하고 구현하는 것이 보안과 아키텍처에 영향을 미치기 때문이며, 따라서 가치 있는 지식입니다.

주요 메커니즘에는 각각 특성과 트레이드오프가 있습니다. **Session 기반 authentication**(session ID 쿠키를 가진 서버 측 session)은 서버에 session 제어권을 주지만(폐기 용이) stateful합니다(확장하려면 공유 session 저장소 필요). **JWT(token 기반)** authentication(서버 조회 없이 검증되는 서명된 자체 완결적 token)은 **stateless**합니다(쉽게 확장되고 API, SPA, 모바일에 적합) — 그러나 **token이 만료 전에 폐기하기 어렵다**(자체 완결적이므로 짧은 만료와 refresh token 필요)는 주목할 만한 트레이드오프가 있고 안전하게 저장되어야 하며 읽을 수 있는 payload에 secret이 없어야 합니다 — JWT는 흔하지만 흔히 잘못 사용되므로 이러한 JWT 고려사항을 이해하는 것이 중요합니다. **OAuth 2.0와 OpenID Connect**(위임 authentication — "Google/GitHub로 로그인")는 사용자가 앱에 password를 공유하지 않고 신뢰된 제3자를 통해 인증하게 하며, SSO와 소셜 로그인의 표준입니다.

이러한 메커니즘, 그 작동 방식, 그리고 **트레이드오프**(session의 statefulness와 쉬운 폐기 대 JWT의 statelessness와 폐기 어려움; 위임 authentication을 위한 OAuth)를 이해하는 것은 올바른 접근을 선택(서버 제어가 있는 전통적 웹 앱에는 session, stateless API에는 JWT, 위임/소셜 로그인에는 OAuth)하고 안전하게 구현하는 데 중요합니다.

Authentication은 근본적이며, 그것을 제대로 하는 것(올바른 메커니즘, 안전한 구현)이 보안에 매우 중요합니다.

Authentication은 대부분의 애플리케이션에 근본적이고 메커니즘(session, JWT, OAuth)에는 보안과 아키텍처에 영향을 미치는 중요한 차이와 트레이드오프가 있으며, 이를 이해하는 것이 authentication을 올바르게 구현하는 데 필요하므로, 흔한 authentication 메커니즘을 이해하는 것은 가치 있고 실무적으로 유의미한 보안 지식입니다. 이는 authentication이라는 근본적 필요에 중요하며, session, JWT, OAuth 사이에서 건전한 선택과 안전한 구현을 가능하게 하고, 적절한 authentication으로 안전한 애플리케이션을 구축하는 핵심 주제입니다.