[web] 로그인 인증 방식

로그인 인증 방식을 다이어그램으로 잘 설명한 글이 있어서 정리해보았다.

 

원본 링크

https://www.linkedin.com/posts/alexxubyte_systemdesign-coding-interviewtips-activity-7131321480792940544-WXVm/?utm_source=share&utm_medium=member_android

 

https://blog.bytebytego.com/

 

로그인 인증 방식 비교

 

웹 사이트에 로그인할 때, id가 관리되어야 한다.
각 솔루션이 어떻게 다른지 비교해보자.

1. session 

• 서버가 신원(identify)을 저장하고 브라우저에 세션 id 쿠키을 전달한다.
• 이것을 통해 서버가 로그인 상태를 추적할 수 있다.
• 하지만 쿠키는 다른 디바이스에서 제대로 작동하지 않는다.

2. token

• 신원(identity)이 브라우저로 전송되는 토큰으로 인코딩 된다.
• 브라우저는 향후 인증 요청시 이 토큰을  전달한다.
• 따라서 서버 세션 스토리지가 필요하지 않다. 
• 하지만 토큰은 암호화(encryption)/복호화(decryption) 가 필요하다.

3. JWT ( Json  Web Token )

• 신뢰를 위해 디지털 서명된 인증 토큰을 사용하여 ID 토큰을 표준화 한다.
• 서명은 토큰에 포함되어 있어서 서버 세션이 필요하지 않다.

4. SSO ( Single Sign On )

• 하나의 중앙 인증 서버(central authentication service)를 사용한다.
• 이것은 한번의 로그인으로 여러개의 사이트에서 작업할 수 있다.

5. OAuth2 

• 암호를 제공하지 않고 다른 사이트에서 한 사이트의 데이터에 제한적으로 액세스 할 수 있다.

6. QR code

• 모바일 로그인을 위해 랜덤 토큰이 QR code 로 인코딩 한다.
• 코드를 스캔하면 암호를 입력하지 않아도 로그인이 된다.