인증과 권한부여(인가)

웹 서비스에서 보안이라는 주제의 가장 기본이 되는 개념은 인증과 권한부여라고 볼 수 있다.

1. 인증이란

인증(Authentication)은 쉽게 말해서 자신을 증명하는 것이다. 다시 말해서 자기 스

스로가 무언가 자신을 증명할 만한 자료를 제시하는 것이다. 또는 자신이 누구라고 주장하는 

사람을 확인하는 절차이다.

인증은 프론트엔드 관점에서 봤을 때 로그인, 회원가입과 같이 사용자의 도입부분을 가리키

곤 한다. 사용자가 로그인을 위해서 ID와 비밀번호를 입력하면 로그인 가능 여부를 결정하는 

것이 인증이다.

반면 서버사이드 관점에서 봤을 때는 모든 API 요청에 대해 사용자를 확인하는 작업

이다. 

2. 인증이 필요한 이유

사용자 A와 사용자 B가 웹을 사용한다고 하면 두 사용자는 기본적으로 정보가 다르고 보유하

고 있는 컨텐츠도 다르다. 따라서 서버에서는 요청을 보냈을 때 누구의 요청인지를 정확히 알

아야 한다. 만일 그렇지 못한다면, 각각의 사용자에게 맞는 정보를 응답할 수 없다.

그렇기에 프론트에서 자신이 누구인지를 알만한 단서를 서버에 보내야 하며, 서버는 그 단서

를 파악해 각 요청에 맞는 데이터를 뿌려주게 되는것이다. 따라서 각각의 HTTP 요청에는 주체

가 누구인지에 대한 정보가 들어가야한다.

3. 권한부여(인가)란

남에 의해서 자격이 부여된다는 것이다.

또는 권한부여는 가고 싶은 곳으로 가도록 하거나, 혹은 정보를 얻도록 허용하는 과정이다.

예를들어 사용자가 특정 페이지(예를 들면 관리 페이지)를 클릭했을 때, 보여줄지 여부를 결정하는 

것이 권한부여이다. 또는 데이터베이스를 조회하거나 수정할 수 있는 권한이 부여된다.