[Spring] Bearer 토큰 인증 구조 이해하기

Bearer

• HTTP 인증 방식 중 하나

HTTP 요청 헤더

Authorization: Bearer {accessToken}

• Authorization : 인증 정보를 담는 헤더
• Bearer : 인증 방식 (Type)
• {accessToken} : 실제 인증 토큰

 

왜 Bearer 라고 부르는가

• Bearer은 직역하면 '소지자' 라는 뜻
• 이 토큰을 소지하고 있는 사람은 인증된 사용자로 간주
• 서버는 토큰을 누가 들고 왔는지 확인하지 않음
  • 토큰 서명이 유효한지
  • 토큰이 만료되지 않았는지
  • 필요한 클레임이 포함되어 있는지

 

Bearer 인증 방식 특징

• Stateless
  • 서버는 세션을 저장하지 않음
  • 토큰 자체에 사용자 정보가 포함되어 있음
• 단순 구조
  • 서버는 매 요청마다 다음과 같은 흐름으로 동작
    • Authorization 헤더 추출
    • Bearer 제거
    • 토큰 검증
    • SecurityContext 설정
• 토큰 소지 기반 인증
  • Bearer 방식은 토큰이 유효한지만 판단
  • 토큰 탈취에 취약할 수 있기 때문에 HTTPS 사용이 필수