[Istio 가이드 ep.20] 3부 보안 및 인증 #4 | JWT 기반 인증 적용하기: OAuth & OIDC 연동 가이드

🔹 개요

이번 글에서는 Istio에서 JWT(JSON Web Token)를 활용한 인증 적용 방법을 살펴보겠습니다.
JWT는 OAuth 2.0 및 OIDC(OpenID Connect) 기반의 토큰 인증 방식으로,
Istio에서는 이를 활용하여 API 요청을 안전하게 보호할 수 있습니다.

이 글에서는 JWT 인증 개념, Istio에서 JWT 적용 방법,
그리고 OAuth 2.0 및 OIDC 연동을 통한 보안 강화를 다룰 예정입니다.

---

🔹 1. JWT 인증이란?

✅ 1.1 JWT(JSON Web Token) 개념

**JWT(JSON Web Token)**은 사용자의 신원을 증명하는 보안 토큰입니다.
JWT는 Base64로 인코딩된 3개의 부분(헤더, 페이로드, 서명)으로 구성되며,
사용자의 로그인 상태 및 권한을 인증하는 데 활용됩니다.

JWT의 주요 특징

• 토큰 기반 인증으로 세션 관리가 필요 없음
• 발급된 토큰을 클라이언트가 보관하고 API 요청 시 포함
• 토큰이 위변조되지 않았는지 검증 가능

💡 JWT는 OAuth 2.0 및 OIDC에서 표준 인증 방식으로 사용됩니다.

---

✅ 1.2 OAuth 2.0 및 OIDC 개요

**OAuth 2.0(Open Authorization)**은 타사 애플리케이션이 사용자 데이터를 안전하게 접근할 수 있도록 권한을 부여하는 인증 프로토콜입니다.
OIDC(OpenID Connect)는 OAuth 2.0을 확장하여 사용자 인증(Authentication)까지 지원하는 표준입니다.

OAuth 2.0 및 OIDC의 차이점

 

프로토콜	역할
OAuth 2.0	API 접근 권한을 제어 (Access Token 발급)
OIDC(OpenID Connect)	OAuth 2.0 기반 사용자 인증 (ID Token 발급)

---

🔹 2. Istio에서 JWT 인증 적용

✅ 2.1 Istio에서 JWT 기반 인증을 활성화하는 방법

Istio에서는 AuthorizationPolicy를 활용하여 특정 API 엔드포인트에 JWT 인증을 적용할 수 있습니다.

apiVersion: security.istio.io/v1beta1
kind: RequestAuthentication
metadata:
  name: jwt-auth
  namespace: default
spec:
  selector:
    matchLabels:
      app: my-service  # JWT 인증을 적용할 서비스
  jwtRules:
    - issuer: "https://auth.example.com"  # 토큰 발급자 (OAuth 2.0 인증 서버)
      jwksUri: "https://auth.example.com/.well-known/jwks.json"  # JWT 공개 키 위치

설명:

• issuer: "https://auth.example.com" → JWT를 발급한 인증 서버
• jwksUri: "https://auth.example.com/.well-known/jwks.json" → JWT 서명을 검증할 공개 키
• selector.matchLabels.app: my-service → JWT 인증을 적용할 서비스 선택

💡 Istio는 JWT를 자동으로 검증하며, 유효하지 않은 토큰은 요청을 차단합니다.

---

✅ 2.2 AuthorizationPolicy를 활용한 JWT 인증 강화

아래 예제는 JWT가 유효한 사용자만 특정 API에 접근할 수 있도록 설정하는 정책입니다.

apiVersion: security.istio.io/v1beta1
kind: AuthorizationPolicy
metadata:
  name: require-jwt
  namespace: default
spec:
  action: ALLOW
  rules:
    - from:
        - source:
            requestPrincipals: ["https://auth.example.com/*"]  # JWT 발급자 기반 인증
      to:
        - operation:
            paths: ["/secure-api"]  # "/secure-api" 경로만 보호

설명:

• requestPrincipals: ["https://auth.example.com/*"] → JWT 발급자 기반 인증 적용
• operation.paths: ["/secure-api"] → 특정 API 경로 보호

💡 이 설정을 적용하면, 유효한 JWT를 보유한 사용자만 /secure-api 엔드포인트에 접근할 수 있습니다.

---

🔹 3. OAuth 2.0 및 OIDC 연동 방법

✅ 3.1 OAuth 2.0 Access Token을 이용한 API 인증

OAuth 2.0을 활용하여 API 요청 시 Access Token을 전달하는 방식입니다.

① 클라이언트에서 OAuth 2.0 인증 서버에 로그인 요청

curl -X POST https://auth.example.com/oauth/token \
     -d "client_id=my-client" \
     -d "client_secret=my-secret" \
     -d "grant_type=password" \
     -d "username=user@example.com" \
     -d "password=my-password"

② Access Token을 사용하여 API 요청

curl -H "Authorization: Bearer " https://api.example.com/secure-api

💡 Access Token을 사용하면 클라이언트는 로그인 상태를 유지하면서 API 요청을 인증할 수 있습니다.

---

✅ 3.2 OIDC(OpenID Connect) 기반 사용자 인증 적용

OIDC를 활용하여 사용자가 로그인하면 ID Token을 발급받고, 이를 기반으로 API 요청을 인증할 수 있습니다.

① ID Token을 발급받기 위한 로그인 요청

curl -X POST https://auth.example.com/oauth/token \
     -d "client_id=my-client" \
     -d "client_secret=my-secret" \
     -d "grant_type=authorization_code" \
     -d "code=AUTHORIZATION_CODE" \
     -d "redirect_uri=https://my-app.com/callback"

② ID Token을 사용하여 API 요청

curl -H "Authorization: Bearer " https://api.example.com/user-info

💡 OIDC의 ID Token은 사용자의 인증 정보를 포함하며, 로그인 후 추가적인 API 접근을 제어할 수 있습니다.

---

🔹 4. JWT 인증 적용 후 확인 방법

✅ 4.1 JWT 인증 적용 확인

현재 적용된 JWT 인증 정책을 확인하려면 다음 명령어를 실행합니다.

kubectl get requestauthentication -n default

✅ 4.2 JWT 토큰 검증 테스트

JWT를 포함하여 API 요청을 테스트합니다.

curl -H "Authorization: Bearer " https://api.example.com/secure-api

💡 유효한 JWT가 포함되지 않으면 401 Unauthorized 응답이 반환됩니다.

---

📌 결론

• JWT(JSON Web Token)는 OAuth 2.0 및 OIDC 기반의 표준 인증 방식으로 사용됩니다.
• Istio에서는 RequestAuthentication 및 AuthorizationPolicy를 활용하여 JWT 기반 인증을 적용할 수 있습니다.
• OAuth 2.0을 활용하면 API 접근을 제어할 수 있으며, ID Token(OIDC)을 사용하면 사용자 인증을 강화할 수 있습니다.
• JWT 기반 인증을 적용하면 API 보안을 강화하고, 사용자 권한을 효과적으로 관리할 수 있습니다.