인증 총 정리 :: 3. SSO 인증 및 총 정리

SSO

SSO(Single Sign On)는 한 번의 로그인으로 여러 서비스에 접근할 수 있는 통합 인증 방식입니다. 서비스의 규모가 커질 때 여러 서비스를 통합 관리하기 위해 SSO를 사용합니다.

SSO를 구현할 때 다음과 같은 두 가지 패턴이 존재할 수 있습니다.

 

1. 인증 gateway 방식

각 서비스에 접근할 때 이전 레이어에 통합 인증 서비스가 존재하는 방식입니다. User는 SessionID를 가지고 있고 통합 인증 서비스를 통과하면 해당 서비스를 이용할 수 있습니다. 이 방식의 단점은 각 서비스를 이용할 때마다 인증 과정을 거쳐야 하며 인증 서비스 자체가 bottle neck이 될 수 있다는 것입니다.

 

2. 인증 토큰 발급 방식

유저는 우선 통합 인증 서비스를 통해 토큰이라는 인증 대행 매체를 부여받고, 유저가 서비스를 요청하면 각 서비스는 유저가 보유하고 있던 토큰으로 인증 여부를 파악합니다. 토큰은 보통 해시함수에 의해 변환되어 유저의 브라우저에 쿠키에 저장됩니다.

 

 

총 정리

인증 종류	인증	재인증	인증갱신	비고
SAML	SAMLResponse	Session Cookie	-	XML기반이라 브라우저에서만 가능하다.
OAuth 2.0	1. API key(Client id, Client secret, redirect URL) - Client 인증 id, pw - User 인증 2. Authorization code 3. access token	access token	refresh token	다른 서비스의 Auth를 이용해야 할 때 사용한다.
OpenIDC	id, pw - User 인증 API key - Client 인증	access token	refresh token	인가는 id token을 통해서 이루어진다.

 

결론

결론은 OpenIDC 방식에 Client 인증을 더하기 위해 API key 방식을 도입하면 대부분의 경우를 커버할 수 있다. 또한, 이러한 인증 flow를 사용할 때 refresh token은 BFF 서버에서 인덱스 DB와 소통하도록 하며 key가 되는 인덱스를 Client로 내려주는 것이 보안에 좋다.

 

참고

https://cloud.google.com/endpoints/docs/openapi/when-why-api-key?hl=ko

https://gruuuuu.github.io/security/ssofriends/

https://wiki.dailyhou.se/display/OHP/Auth+Service+Tech+Design

https://dleroari.medium.com/learn-the-basics-of-json-web-tokens-jwt-and-how-it-works-in-practice-8b3b14cbe0f9