Rails 인증의 역사와 Rails 8의 변화

• 인증의 시작: HTTP 초기에는 사용자 이름과 비밀번호를 헤더에 인코딩하는 Basic Auth 방식이 사용되었으며, 세션이나 사용자 데이터 저장이 없어 익명적이고 상태가 없는 웹 환경이었습니다.
• 인증과 권한 부여의 구분: 웹 애플리케이션이 복잡해지면서 ‘누구인가(Authentication)’와 ‘무엇을 할 수 있는가(Authorization)’를 구분하는 필요성이 대두되었습니다. 이 두 개념은 밀접하게 연결되어 있지만, 명확히 다른 계층입니다.
• Rails의 초기 인증: 초기 Rails 개발자들은 세션 관리, 로그인 로직, 유효성 검사 등을 수동으로 구현했습니다. 이는 학습에는 유용했지만, 확장성과 재사용성 측면에서 한계가 있었습니다.
• Authlogic (2008): 깔끔하고 단순한 젬으로 등장하여 수동 구현의 어려움을 해소했습니다.
• Devise (2009): Warden 위에 구축된 Devise는 뷰, 컨트롤러, 모델을 포함한 완전한 기능을 갖춘 인증 시스템을 제공하여 큰 편의성을 주었으나, 종종 ‘블랙박스’처럼 동작하여 내부 작동 방식을 이해하기 어렵게 만들었습니다.
• OAuth 및 SSO의 부상: 모바일 및 소셜 플랫폼의 성장에 따라 Facebook, Twitter, Google 등이 OAuth 및 SSO를 표준으로 채택하면서 단순한 비밀번호 기반 인증만으로는 부족해졌습니다.
• Rails 8의 내장 인증: 10년 이상이 지난 후, Rails 8은 내장 인증 제너레이터를 제공하여 개발자가 로그인 흐름을 빠르게 구축하면서도 전체 스택을 커스터마이징하고 확장할 수 있도록 했습니다.

Rails 8 인증 제너레이터의 특징

• rails generate authentication User 명령어를 통해 사용자 모델에 대한 간단하고 읽기 쉬운 인증 시스템을 스캐폴드합니다.
• has_secure_password 헬퍼를 통해 Bcrypt 기반의 비밀번호 해싱, 인증 로직, 유효성 검사를 제공합니다.
• SessionsController와 ApplicationController에 포함되는 Authentication concern을 통해 핵심 헬퍼(allow_unauthenticated_access, authenticate_access!)를 중앙 집중화하여 투명하고 쉽게 오버라이드할 수 있습니다.
• 비밀번호 재설정 흐름(컨트롤러, 메일러, ERB 뷰)을 기본 제공하며, 토큰이나 매직 링크 등으로 쉽게 교체 가능합니다.
• 회원가입 뷰는 포함되지 않지만, rails generate controller Users 명령어로 쉽게 생성할 수 있습니다.
• 장점: 학습하기 쉬운 코드, 마법 같은 라우트나 엔진 없음, 순수한 Rails MVC 패턴, 확장성, RESTful 패턴 및 컨선 활용, 높은 테스트 용이성을 통해 좋은 시작점을 제공합니다.

현대적인 인증 흐름

1. 패스워드리스 (Passwordless) 인증

• 필요성: 비밀번호 재사용, 취약한 비밀번호, 잦은 비밀번호 분실 등의 문제점을 해결하기 위함입니다.
• no_password Gem: Rails 8 인증 제너레이터와 잘 통합되는 간단하고 최소한의 젬입니다.
• 작동 방식: 사용자가 이메일 주소를 제공하면, Rails는 임의의 6자리 숫자 코드와 솔트(salt)를 생성합니다. 솔트는 브라우저에 유지되고, 코드는 사용자에게 이메일로 전송됩니다. 사용자는 이 코드를 통해 로그인하며, 코드와 솔트의 조합으로 비밀번호가 잠금 해제됩니다.
• 보안 계층:
  • 남은 시도 횟수: 기본 3회 시도 후 비밀번호가 파기됩니다.
  • 솔트 숨기기: 솔트는 브라우저의 폼 페이로드에 포함되어 전송되므로, 공격자가 코드와 함께 솔트까지 탈취해야 합니다.
  • 만료 시간: 기본 5분 이내에 코드를 입력해야 하며, 이후에는 파기됩니다.

2. SSO (Single Sign-On) 및 OAuth

• SSO: Google, Octa, Meta 등 하나의 ID 공급자로 한 번 로그인하면 여러 애플리케이션에 자격 증명 재입력 없이 접근할 수 있는 인증 방식입니다.
• OAuth: 타사 애플리케이션이 사용자 비밀번호를 공유하지 않고도 사용자의 리소스(이메일, 캘린더 등)에 접근 권한을 부여하는 권한 부여 프로토콜입니다.
• SSO와 OAuth의 관계: OAuth는 종종 SSO 시스템의 일부로 사용되지만, 두 가지는 다릅니다.
• 장점: 빠르고 안전한 가입/로그인, 사용자 마찰 감소, Google 등 ID 공급자의 보안(2FA, 장치 모니터링) 상속, 비밀번호 저장 부담 감소, 검증된 프로필 데이터 접근.
• 구현: Google 개발자 콘솔에서 OAuth 클라이언트를 설정하고, 클라이언트 ID와 비밀 ID를 발급받은 후, 리다이렉트 URL을 포함한 라우트를 설정하고, no_password 젬 문서를 참고하여 컨트롤러를 구현합니다.

인증의 미래

• 패스키(Passkeys) 및 WebAuthn: 채택이 증가하며 주류로 부상하고 있습니다.
• 엔터프라이즈 SSO: 특히 기업 환경 및 B2B SaaS에서 중요성이 커지고 있습니다.
• 인증의 스펙트럼화: 과거의 이진적인 ‘인증됨/인증되지 않음’에서 벗어나, 생체 인식 및 행동 신호(예: 키스트로크 속도, 오류 빈도, 로그인 위치, 페이지 스크롤 속도)를 활용하여 세션의 행동 프로필을 구축하고, 이탈 시 재인증을 유도하거나 위험 점수를 산출하는 등 더욱 복잡하고 지속적인 인증 방식으로 진화하고 있습니다.
• 클라이언트 측 책임 증가: JavaScript 및 웹 API의 영향력이 커지면서 인증 흐름에서 클라이언트 측의 역할이 중요해지고 있습니다.