① 토큰 [ Token ] : 시스템에서 보안 객체의 접근 관리에 사용되는 객체 또는 장치. 서버가 기억하는 이상하게 생긴 텍스트. ID카드 처럼 서버한테 보여줘야 하는 것.
② 쿠키 [ cookie ] : 그냥 옮기는 시스템, 매개체. 고객이 특정 홈페이지를접속할 때 생성되는정보를 담은 임시 파일. 특정 사이트를 처음 방문하면 아이디와 비밀번호를 기록한 쿠키가 만들어지고 다음에 접속했을 때 별도 절차 없이 사이트에 빠르게 연결할 수 있다. 쿠키는 사용하는 웹브라우저가 자동으로 만들기도 하고 갱신하기도 하며 웹사이트로 기록을 전달하기도 한다. 따라서 개인의 사생활을 침해할 소지가 있다.
③ 프로토콜 [protocol ] : 송신자와 수신자 사이에 메시지나 데이터 등을 주고 받기 위해 사전에 정해놓은 규칙.
④ JWT : JWT(Json Web Token)란 Json 포맷을 이용하여 사용자에 대한 속성을 저장하는 Claim 기반의 Web Token이다. JWT는 토큰 자체를 정보로 사용하는 Self-Contained 방식으로 정보를 안전하게 전달한다. 정보를 갖고있는 토근, DB 없이 인증할 수 있음.
⑤ JWT 단점 및 고려사항
Self-contained: 토큰 자체에 정보를 담고 있으므로 양날의 검이 될 수 있다.
토큰 길이: 토큰의 페이로드(Payload)에 3종류의 클레임을 저장하기 때문에, 정보가 많아질수록 토큰의 길이가 늘어나 네트워크에 부하를 줄 수 있다.
Payload 인코딩: 페이로드(Payload) 자체는 암호화 된 것이 아니라, BASE64Url로 인코딩 된 것이다. 중간에 Payload를 탈취하여 디코딩하면 데이터를 볼 수 있으므로, JWE로 암호화하거나 Payload에 중요 데이터를 넣지 않아야 한다.
Stateless: JWT는 상태를 저장하지 않기 때문에 한번 만들어지면 제어가 불가능하다. 즉, 토큰을 임의로 삭제하는 것이 불가능하므로 토큰 만료 시간을 꼭 넣어주어야 한다.
Store Token: 토큰은 클라이언트 측에서 관리해야 하기 때문에, 토큰을 저장해야 한다.
토큰 기반 인증이란 사용자가 자신의 아이덴티티를 확인하고 고유한액세스 토큰을 받을 수 있는 프로토콜을 말합니다. 사용자는 토큰 유효 기간 동안 동일한 웹페이지나 앱, 혹은 그 밖에 해당 토큰으로 보호를 받는 리소스로 돌아갈 때마다 자격 증명을 다시 입력할 필요 없이 토큰이 발급된 웹사이트나 앱에 액세스할 수 있습니다.
인증 토큰은 도장이 찍힌 티켓과 같습니다. 토큰이 유효하다면 사용자는 계속해서 액세스할 수 있습니다. 사용자가 로그아웃하거나 앱을 종료하면 토큰도 무효화됩니다.
토큰 기반 인증은 비밀번호 기반 또는 서버 기반 인증 기법과는 다릅니다. 토큰이 두 번째 보안 계층을 제공하여 관리자가 각 작업과 트랜잭션을 정밀하게 제어할 수 있습니다.
인증 토큰의 역사
인증과 인가 (권한 부여)는서로 다른 개념이지만 연관성이 있습니다. 인증 토큰을 사용하기 전에는 비밀번호와 서버가 사용되었습니다. 기존 방식을 사용해 적합한 사람이 필요할 때 원하는 정보에 액세스했는지 확인해야 했지만 항상 효과적이지는 못했습니다.
비밀번호를 예로 들면, 일반적으로 다음과 같은 과정이 작용합니다.
사용자 생성.문자, 숫자, 기호를 조합하여 비밀번호를 생성합니다.
기억.고유한 비밀번호 조합을 항상 기억해야 합니다.
반복.액세스가 필요할 때마다 비밀번호를 입력해야 합니다.
또한 유저들은 비밀번호를 일일이 다 기억하지 못하며, 다음과 같은 요령에 의지하는 경우가 많습니다.
비밀번호 기록.비밀번호가 빼곡히 적힌 종이를 분실할 경우 보안 악몽이 시작됩니다.
비밀번호 재사용.사람들은 동일한 비밀번호를 여러 계정에서 사용하는 경향이 있습니다. 따라서 한 개의 비밀번호가 분실될 경우 대부분의 계정이 취약해질 수 있습니다.
부분적인 비밀번호 변경.사람들은 비밀번호를 업데이트해야 할 때 문자나 숫자를 하나만 변경합니다.
비밀번호 역시 서버 인증이 필요합니다. 사람들이 로그인할 때마다 컴퓨터가 트랜잭션 레코드를 생성하며, 결과적으로 메모리 부하가 증가합니다.
하지만 토큰 인증은 다릅니다.
토큰 인증 방식에서는 보조 서비스를 통해 서버 요청을 확인합니다. 확인이 완료되면 서버가 토큰을 발급하여 요청에 응답합니다.
사용자는 여전히 적어도 한 개의 비밀번호 를 기억해야 하지만 토큰이 액세스 계층을 하나 더 제공하기 때문에 도용하거나 침투하기가 훨씬 더 어렵습니다. 또한 세션 레코드가 서버에서 공간을 전혀 차지하지 않습니다.
세 가지 유형의 인증 토큰
모든인증 토큰이 액세스를 허용하지만 각 유형마다 약간씩 차이가 있습니다.
일반적으로 다음과 같은 세 가지 유형의 인증 토큰이 사용됩니다.
연결형:키, 디스크, 드라이브 및 기타 물리적 장치가 시스템에 연결되어 액세스를 허용합니다. USB 디바이스나 스마트카드를 사용해 시스템에 로그인한 경험이 있다면 연결식 토큰을 사용한 셈입니다.
비접촉형:디바이스가 서버와 통신하려면 거리가 충분히 가까워야 하지만 연결할 필요는 없습니다. Microsoft의 "매직 링"이라고 하는 토큰이 여기에 해당합니다.
분리형:디바이스가 다른 디바이스와 접촉하지 않고도 먼 거리에서 서버와 통신할 수 있습니다. 예를 들어 이중 요소 인증 프로세스에 휴대전화를 사용한 경험이 있다면 이러한 유형의 토큰을 사용한 셈입니다.
위의 세 가지 시나리오 모두 사용자가 무언가를 해야만 프로세스가 시작됩니다. 비밀번호를 입력해야 할 수도 있고, 혹은 질문에 답변해야 할 수도 있습니다. 하지만 예비 단계를 완벽하게 마쳤다고 해도 액세스 토큰이 없으면 액세스하지 못합니다.
4가지 단계의 간단한 토큰 인증 절차
토큰 기반 인증 시스템을 사용하면 방문자가 자격 증명을 한 번만 확인합니다. 자격 증명이 확인되면 토큰이 할당되어 정해진 시간 동안 액세스가 가능합니다.
프로세스는 다음과 같습니다.
요청:사용자가 서버 또는 보호되는 리소스에 대한 액세스를 요청합니다. 이때 비밀번호를 이용한 로그인이나 그 밖에 지정된 프로세스가 개입될 수 있습니다.
확인:서버가 해당 사용자의 액세스 여부를 확인합니다. 이때는 사용자 이름에 대한 비밀번호 확인 또는 그 밖에 지정된 프로세스가 개입됩니다.
토큰:서버가 링, 키, 휴대전화와 등의 인증 디바이스와 통신합니다. 확인을 마치면 서버가 토큰을 발급하여 사용자에게 전달합니다.
저장:작업이 지속되는 동안 토큰이 사용자의 브라우저에 저장됩니다.
사용자가 서버에서 다른 곳에 방문하려고 하면 토큰이 서버와 다시 통신합니다. 토큰에 따라 액세스가 허용되기도 하고 거부되기도 합니다.
관리자가 토큰에 대한 사용 제한을 설정하기도 합니다. 예를들어, 사용자가 로그아웃하 지정된 시간이 지나면 토큰이 자동으로 파기되도록 설정할 수 있습니다.
JSON Web Token(JWT): 특별한 인증 토큰
오늘날 휴대전화(앱)와 웹 앱을 통해 시스템에 액세스하는 사용자들이 많아지면서 개발자에게 이러한 플랫폼에 적합한 안전한 인증 방법이 필요해졌습니다.
개발자들은 애플리케이션에 토큰 인증 방식을 도입할 때 이러한 문제를 해결하기 위해 JSON Seb Token(JWT)으로 눈을 돌리고 있습니다.
JSON Web Token(JWT)은개방형 표준입니다. 완성된 코딩 결과물은 발신자와 수신자 사이에서 안전한 통신을 지원합니다. 데이터는 디지털 서명을 통해 확인하며, HTTP를 통해 전송되는 경우에는 데이터를 암호화하여 안전하게 보호합니다.
JWT에는 세 가지 중요한 구성요소가 있습니다.
헤더:토큰 유형을 비롯해 관련된 서명 알고리즘을 정의합니다.
페이로드:토큰 발급자, 토큰 유효기간 등을 정의합니다.
서명:보안 서명을 통해 메시지가 전송 과정에서 바뀌지 않은 것을 확인합니다.
코딩은 위의 세 가지 요소로 이어집니다.
JSON 코드를 보고 긴장할 필요는 없습니다. 이러한 유형의 표기는 엔티티가 데이터를 앞뒤로 전달할 때 흔하게 사용되는 것으로, 자습서도 많이 있습니다. JSON 토큰을 사용하고 싶지만 해당 언어를 시도해 본 경험이 없다면이러한 리소스가 도움이 될 수 있습니다.
JWT의 장점과 단점
JWT에는 다음과 같은 다양한 장점이 있습니다.
크기:JSON 코드 언어로 생성된 토큰은 용량이 작기 때문에 두 엔티티 사이에서 매우 빠르게 전달됩니다.
용이성:거의 모든 곳에서 토큰이 생성될 수 있으며, 서버에서 토큰을 확인할 필요가 없습니다.
제어:액세스 가능한 데이터, 권한 지속 시간, 로그인 시 가능한 작업을 지정할 수 있습니다.
반면 잠재적 단점도 존재합니다.
단일 키:JWT는 단일 키를 이용합니다. 따라서 키가 유출되면 시스템 전체가 위험에 노출됩니다.
복잡성:이 토큰은 이해하기가 쉽지 않습니다. 개발자가 암호 서명 알고리즘에 정통하지 않다면 자신도 모르게 시스템을 위험에 빠뜨릴 수 있습니다.
제한:메시지를 모든 클라이언트에게 푸시할 수 없고, 서버 측 클라이언트도 관리할 수 없습니다.
인증 토큰을 시도해야 하는 이유
누구나 현재 전략을 평가하고 아무런 문제가 없다고 생각할 수 있습니다. 그런데도 인증 토큰을 시스템에 추가해야 하는 이유는 무엇일까요? 결단을 내리는 개발자들이 실감할 수 있는 이점이 있기 때문입니다.
인증 토큰은 다음과 같은 시스템 관리자에게 유용합니다.
임시 액세스를 자주 허용하는 관리자.날짜, 시간 또는 특별 이벤트에 따라 사용자 수의 변동 폭이 크면 액세스를 반복해서 허용 또는 취소하느라 쉽게 지칠 수 있습니다. 이때는 토큰이 유용합니다.예를 들어 대학 도서관 사이트의 관리자라면 아마 토큰 접근법의 진가를 알아볼 것입니다.
액세스 세분화가 필요한 관리자.서버가 사용자 속성이 아닌 특정 문서 속성에 따라 액세스를 허용합니다. 하지만 비밀번호로는 정밀한 세분화가 어렵습니다.예를 들어 온라인 저널을 운영한다고 가정했을 때, 모든 독자가 여러 문서가 아닌 한 문서에서 저널을 읽고 댓글을 달 수 있도록 만들려고 합니다. 이때 토큰을 사용하면 가능합니다.
주요 해킹 표적인 관리자.유출될 경우 기업에게 심각한 피해를 입힐 정도로 중요한 문서가 서버에 저장되어 있습니다. 비밀번호로만으로는 충분히 보호하기 어렵습니다. 이때는 하드웨어가 큰 도움이 될 수 있습니다.
인증 토큰의 사용 사례는 이 외에도 많습니다. 하지만 위의 사용 사례도 창의력을 발휘하는 데 유용하며, 이점을 고려할수록 인증 토큰을 사용할 가능성도 더 커집니다.
인증 토큰 모범 사례 따라하기
인증 토큰은 보안 프로토콜을 강화하여 서버를 안전하게 보호하는 데 목적이 있습니다. 하지만 안전을 염두에 두고 프로세스를 구축하지 않는다면 인증 토큰도 효과를 발휘하지 못합니다.
인증 토큰은 다음과 같아야 합니다.
비공개.사용자는 여러 부서 사이에서 토큰 인증 디바이스를 공유하거나 함께 사용할 수 없습니다. 비밀번호를 공유하지 않듯이 보안 시스템에서 어떤 것도 공유해서는 안 됩니다.
보안.토큰과 서버 간 통신은 HTTPS 연결을 통해 안전하게 보호되어야 합니다. 암호화는 토큰을 안전하게 보호하기 위한 필수 요소입니다.
테스트.토큰 테스트를 주기적으로 시행하여 시스템이 안전하게 정상적으로 작동하는지 확인해야 합니다. 또한 문제가 발견되면 신속하게 해결해야 합니다.
적합성.각 사용 사례에 적합한 유형의 토큰을 선택해야 합니다. 예를 들어 JWT의 경우 세션 토큰에 적합하지 않은데, 이는 비용이 만만치 않을 뿐만 아니라 가로채기로 인한 보안 위협을 배제할 수 없기 때문입니다. 따라서 작업에 적합한 툴인지 항상 확인해야 합니다.
인증 토큰을 쉽게 결정해서는 안 됩니다. 직접 알아보거나 동료들에게 물어봐서 회사에게 가장 필요한 일을 하고 있는지 생각해 보는 것이 좋습니다.
파이썬에서는 기본적으로 OOP(Object-Oriented Programming)를 지원한다. 파이썬에서 사용되는 모든 것들은 객체로 이루어져 있으며, 객체로 처리된다. 하지만, 파이썬은 인터프리터 언어로 일반적인 main 함수(또는 메서드)가 없어도 실행이 되며, 동적 바인딩을 통한 객체에 값을 할당한다. 때문에 C 언어와 같이 클래스가 없이 함수들의 집합으로만 이루어지게 코드를 작성할 수 있지만, 알아두면 좋을 객체 지향의 장점을 살릴 수 있는 클래스와 객체에 대해 간단하게 알아보자.
클래스(class)란?
공통되는 것들을 묶어서 대표적인 이름을 붙인 것이다. 또 클래스가 개념적이라면, 객체는 구체적이라 할 수 있다. 클래스는객체와 관련지어 생각하면 더 쉽게 이해할 수 있다. 가장 쉽게 예를 들자면, 객체는 붕어빵이고 클래스는 붕어빵을 만드는 틀이다.
클래스의 선언
파이썬에서 클래스를 선언하기 위해선 “def 클래스명():”를 이용해 클래스를 선언하며, 이름 명명 규칙은 일반적으로 카멜 케이스를 따른다. 아래 예는 MyCar라는 간단한 클래스를 선언하는 코드이다.
def MyCar():
pass
위 코드에서는 클래스 안에 작성된 코드가 없는 빈 클래스이므로 pass 키워드를 통해 아무 일도 하지 않는 것을 명시한다.
(첫번째 글자를 소문자로 하냐 대문자로 하냐 말은 많은데 Python에서는 거의 무조건 대문자로 적는다.)
유형1 :ItemList, LoginStatus, CharacterHp, RotateAngle→ Python에서 주로 사용함 유형2: itemList, loginStatus, characterHp, rotateAngle→ Python에서 사용 잘 안함.
식별자
프로그래밍 언어에서이름을 붙일 때 사용하는 단어이다. 주로 변수 또는 함수 이름 등으로 사용됨.
특히 식별자는 다음 규칙을 지켜야함.
- 키워드를사용하면 안됨.
- 특수 문자는 _(언더 바)만 허용
- 숫자로 시작하면 안됨.
- 공백을 포함할 수 없음.
식별자 구분하기!!!!!★☆★☆(매우중요)
위에서 설명하였지만 그렇다면! 첫 번째 글자가 소문자라면 Python에서는 무조건 스네이크 케이스라는 것
print input list str map filter
반대로 첫번째 글자가 대문자라면 무조건 캐멀 케이스가 된다.
Animal Customer
보통 파이썬에서는 캐멀 케이스와 스네이크 케이스를 상황에 따라 쓰는데 다음과 같다.
캐멀 케이스로 작성되면 보통 클래스이고
스네이크 케이스로 작성되어 뒤에 괄호가 없으면 변수, 있으면 함수로 나눈다.
항상 예외는 존재하나 그것들은 무시하고 위의 기준을 알아도 상관없다.
파이썬 모듈
모듈(Module)은 파이썬 코드를 논리적으로 묶어서 관리하고 사용할 수 있도록 하는 것으로, 보통 하나의 파이썬 .py 파일이 하나의 모듈이 된다. 자바 언어에서 클래스를 import 해서 사용하는 것과 같은 방법이다.모듈 안에는 함수, 클래스, 혹은 변수들이 정의될 수 있으며, 실행 코드를 포함할 수도 있다.이러한 모듈들을 사용하기 위해서는 모듈을 import구문을 이용하여 사용하면 되는데, import 문은 다음과 같이 하나 혹은 복수의 모듈을 불러들일 수 있다.
① 모듈 import
from time import strftime
여러 개의 모듈을 import 할 경우 위 코드 처럼 모두 한 라인에 작성할 수 있지만 PEP8을 보면 모듈명은 한 라인에 하나씩 작성하는 것을 권장한다.
② from 모듈 import 함수
하나의 모듈.py에는 여러 개의 사용자 함수 및 내장 함수 등이 존재할 수 있는데, 이 중 하나의 함수만을 불러 사용하기 위해서는 아래와 같이 “from 모듈명 import 함수명”이라는 표현을 사용할 수 있다. 특정 함수명을 명시하지 않고 asterisk(*)를 사용할 수 있는데, 이렇게 하면 해당 모듈에 속한 모든 함수를 불러올 수 있다. 하지만, PEP8에선 권장하지 않는 표현이라고 나와있다.
from time import strftime
키워드
특별한 의미가 부여된 단어, '예약어'라고 봐도 됨. 무슨 말이냐면 파이썬이 만들어질 때 이미 사용하겠다고 예약해 놓은 것이므로 우리는 이 키워드를 쓸 수는 있지만 무작위로 쓰면 안됨.(규칙이란게 존재하지) 그래서 주의할 점이 키워드는 이미 있는 언어여서 내가 원하는 파일 이름을 만들때 키워드랑 같은 명칭이면 안됨. 키워드는 뭐가 있을까?↓↓(더 늘어났을 수도 있음)
False
None
True
and
as
assert
break
class
continue
def
del
elif
else
except
finally
for
from
global
if
import
in
is
lambda
nonlocal
not
or
pass
raise
return
try
while
with
yield
근데 파이썬은 대소문자 구분하니까 그것도 주의 True(o), true(x)
(TMI. pycharm 등 코드 전용 에디터를 사용해 보면 코드 입력할 때 키워드들은 색상이 따로 들어가는 경우가 많음)