[과제] 03주차(3-3) JWT 구현 (로그인 유지)

모의 해킹 스터디/모의 해킹 - 과제

[과제] 03주차(3-3) JWT 구현 (로그인 유지)

Gearvirus(junyup2) 2023. 11. 15. 17:24

모의 해킹 스터디 - 3주차 과제 (3-3) JWT 구현 (로그인 유지)

코드에 대하여 더 보다가 발견한 문제점 수정

모의 해킹 스터디 - 3주차 과제 (3-2) JWT 구현 - jwt 규격에 어긋남

모의 해킹 스터디 - 과제 03주차(3-2) JWT 구현 - jwt 규격에 어긋남

모의 해킹 스터디 - 3주차 과제 (3-2) JWT 구현(로그인 유지) 문제점 발견 기존의 로그인 페이지의 Develop 과제 모의 해킹 스터디 - 3주차 과제(1) 로그인 페이지 보완 모의 해킹 스터디 - 과제 03주차(1)

codegear-archive.tistory.com

JWT 구현에 성공했다고 생각하고, 이것저것 추가적으로 찾아보던 도중 jwt 규격에 맞지 않는 방식으로 코드를 구현함을 깨닫고 확인해본결과 문제점이 있어 그것을 수정

기존의 문제점 인지

과제 진행에 있어 jwt 를 발급할 당시

base64_encode($header . "." $payload . ". " . $signature) 를 사용

잘 돌아가는것을 확인했으므로 신경안쓰고, 추가적으로 찾아보던중

https://jwt.io/introduction를 읽어보면서

JWT.IO

JSON Web Tokens are an open, industry standard RFC 7519 method for representing claims securely between two parties.

jwt.io

jwt 규격에 맞지 않는 코딩을 하고 있었음을 확인함

Signature
To create the signature part you have to take the 'encoded header', the 'encoded payload', a secret, the algorithm specified in the header, and sign that.

Putting all together
The output is three Base64-URL strings separated by dots that can be easily passed in HTML and HTTP environments, while being more compact when compared to XML-based standards such as SAML.

결론적으로 올바른 형태는...

JWT의 형태는 헤더(Header) . 페이로드(PayLoad) . 서명(Signature)로
전부 base64UrlEncode 되어있는 상태여야 함
서명은 base64UrlEncode(header) + "." + base64UrlEncode(payload)를
지정한 암호화 알고리즘(Header에 지정됨)으로 인코딩하고
Base64(Url Safe) Encode하여 생성
결론적으로
The output is three Base64-URL strings separated by dots

Base64-URL string = baseUrlUncode = Base64(Url Safe) Encode

이를 토대로 수정한 코드는 다음과 같음

jwt_.php

<?php
    // Base64URL 인코딩 & 디코딩 함수
    // base64UrlEncode
    function base64UrlEncode($data){
        // First of all you should encode $data to Base64 string
        $base64 = base64_encode($data);
        // Make sure you get a valid result, otherwise, return FALSE, as the base64_encode() function do
        if($base64 === false){
            return false;
        }
        // Convert Base64 to Base64URL by replacing “+” with “-” and “/” with “_”
        $base64Url = strtr($base64, '+/', '-_');
        // Remove padding character from the end of line and return the Base64URL result
        return rtrim($base64Url, '=');
    }

    // base64UrlDecode
    function base64UrlDecode($base64Url, $strict = false){
        // Convert Base64URL to Base64 by replacing “-” with “+” and “_” with “/”
        $base64 = strtr($base64Url, '-_', '+/');
        // Decode Base64 string and return the original data
        return base64_decode($base64, $strict);
    }

    class JWT{
        protected $alg;
        protected $secret_key;

        // 생성자
        function __construct(){
            // 사용할 알고리즘 SHA-2(SHA-256)
            $this->alg = 'sha256';
            // 비밀 키
            $this->secret_key = "your secret key";
        }
                
        // JWT 발급(hash) - Header . PayLoad . Signature
        function hashing(array $data): string{
            // Header(헤더) - alg (사용할 알고리즘), typ (타입) 명시
            $header = json_encode(array(
                'alg' => $this->alg,
                'typ' => 'JWT'
            ));

            // PayLoad(페이로드) - 전달할 데이터
            $payload = json_encode($data);

            // Signature(서명) = (base64UrlEncode(헤더) . base64UrlEncode(페이로드), secret)
            $signature = hash_hmac($this->alg, base64UrlEncode($header) . base64UrlEncode($payload), $this->secret_key);
            // base64UrlEncode(헤더) . base64UrlEncode(페이로드) . base64UrlEncode(서명)
            return (base64UrlEncode($header) . '.' . base64UrlEncode($payload) . '.' . base64UrlEncode($signature));
        }

        // JWT 해석(dehash) - 사용자 검증
        function dehashing($token){
            // 토큰 분할 (구분자 . 기준) - 배열로 저장
            $parted = explode('.', $token);
            
            $signature = $parted[2];
            // 토큰 발급시와 같은 방법으로 Signature 생성 후 비교
            if(base64UrlEncode(hash_hmac($this->alg, $parted[0] . $parted[1], $this->secret_key)) != $signature){
                return "Signature Error";
            }

            // parted[1]은 (base64 인코딩 되어있는) $payload -> base64 디코딩
            $payload = base64UrlDecode($parted[1]);

            // json 디코딩을 통해 $payload -> $data
            $data = json_decode($payload, true);
            
            // 만료 검사 exp
            // '토큰 만료 시간'이 '현재 시간'보다 이전인 경우
            if($data['exp'] < time()) {
                return 'Expired';
            }
           
            /*
            * 기타 토큰 확인 작업
            */

            return $data;
        }
    }
    $jwt = new JWT();
?>

Base64URL Encode & Decode 함수가 필요
- base64_encode, base64_decode 를 활용

base64 인코딩/디코딩 함수의 특징

1. base64_encode 함수로 인코딩된 문자열은 인수로 전달된 문자열의 길이, 수에 비례
2. `인코딩 문자열의 byte = ( 인수 문자열의 byte / 3 ) * 4` 공식이 성립
※ 단, 괄호 안의 값이 소수점이 나오면 올림하여 계산
3. base64_encode 함수의 결과로 반환된 문자열의 `=` 문자는 자리 수 채우기 위한 용도
4. base64_encode 함수의 결과 문자열에서 `=` 문자를 제거해도, 디코딩에는 영향을 주지 않음
5. base64 함수는 한, 영, 특수문자 구분 없이 byte 로 계산

위의 테이블은 base64의 (Value - Encoding) 테이블
- 테이블의 62, 63, 그리고 padding을 보면 각각 + , / , =
URL에서 +,/,= 는 특수하게 예약된 제어 문자
- + 는 띄어쓰기(공백문자, 스페이스)를 의미
- / 는 URL 디렉토리 간의 경로 구분자
- = 는 파라미터에서 name과 value 사이에 쓰는 기호
위와 같은 이유에서 base64 를 base64(Url Safe)로 바꿔줘야함
- strtr($base64, '+/', '-_');
  - ( “+” 는 “-” )로, (“/” 는 “_”)로 교체
- =의 경우 삭제해도 되고 놔둬도 됨(decoding에는 지장이 없음)
- 놔둬도 되는 이유
  - = 의 경우 URL에서 padding 어차피 가장 마지막 부분에 위치하기 때문에 브라우저에서 자동으로 특수한 제어 문자가 아닌 URL 인코딩을 통해 %3D 가 될것임
- rtrim($base64Url, '=');
  - 하지만 지워도 되기 때문에 지워 줌
Decoding은 Encoding의 역순으로 진행
- strtr($base64Url, '-_', '+/');
- ("-" 는 "+")로, ("_" 는 "/")로 교체

JWT 발급

서명에 들어가는 헤더와 페이로드는 base64UrlEncode 상태로 들어감
- Signature(서명) = (base64UrlEncode(헤더) . base64UrlEncode(페이로드), secret)
기존에 사용했던 hash() 대신
hash_hmac() 을 이용
- hash_hmac($this->alg, base64UrlEncode($header) . base64UrlEncode($payload), $this->secret_key);
헤더, 페이로드, 서명을 각각 base64UrlEncode 하고 점(.)으로 이어 붙인 값을 반환
- return base64UrlEncode(헤더) . base64UrlEncode(페이로드) . base64UrlEncode(서명)

JWT 해석

발급과 역순으로 진행

받아온 토큰 분할 (구분자 . 기준) - 배열로 저장
- $parted = explode('.', $token);
토큰 발급시와 같은 방법으로 Signature 생성 후 비교
- if(base64UrlEncode(hash_hmac($this->alg, $parted[0] . $parted[1], $this->secret_key)) != $signature)
parted[1]은 base64 인코딩 되어있는 $payload 이므로 base64 디코딩
- $payload = base64UrlDecode($parted[1]);
json 디코딩을 통해 $payload -> $data
- $data = json_decode($payload, true);
- json으로 일렬이 되었던 값을 배열로 돌려주는 것
최종적으로 $data값을 반환

eyJhbGciOiJzaGEyNTYiLCJ0eXAiOiJKV1QifQ.eyJleHAiOjE3MDAwMzkxNjksImlhdCI6MTcwMDAzNTU2OSwiaWQiOiJMSlkiLCJuYW1lIjoiXHVjNzc0XHVjOTAwXHVjNWZkIn0.YTQwOGQ0YjYwMjRhOTIyMTg4NWZlNjkyY2MxYmEyNDU5MDEzMjNmYzkwYzQ2OWFkNWY4ZmUzNzIzOTNmYmM5ZQ

로그인 후에 토큰이 잘 발행된 것을 확인할 수 있었음
jwt.io에 넣어본 결과 잘 변환되는 것을 확인할 수 있었음

Reference

후기

코드가 돌아간다고 제대로 구현한건 아니라는 사실을 간과하지 말자!
무언가 구현하기 전에는 구현할 내용을 제대로 읽어보고 차례대로 진행하자!
직접 구현도 좋지만 라이브러리를 찾아보려는 생각도 해봐야 함!

질문 환영, 수정 및 보완에 대한 지적 환영

현재글[과제] 03주차(3-3) JWT 구현 (로그인 유지)

📓 Codegear_Archive