Bearer 인증 (Bearer Authentication)
Bearer 인증은 HTTP 인증 스키마의 하나로, "이 토큰을 소유한(Bearer) 자에게 접근 권한을 부여한다"는 의미를 가진 인증 방식입니다. 주로 OAuth 2.0에서 발급받은 Access Token을 서버로 전송할 때 사용됩니다.
🏷️ 개념 및 특징
1. 소유자 기반 (Ownership)
Bearer 토큰은 마치 현금이나 버스 승차권과 같습니다.
- 현금을 주운 사람이 사용할 수 있듯이, Bearer 토큰도 토큰을 가진 주체가 누구든 해당 권한을 행사할 수 있습니다.
- 따라서 별도의 암호학적 서명(Signature) 확인 과정 없이 토큰 자체의 유효성만 검증하면 되므로 구현이 간편합니다.
2. 헤더 형식 (Syntax)
HTTP 요청 시 Authorization 헤더에 아래와 같은 형식으로 전송합니다.
Authorization: Bearer <Access Token>
- Bearer: 인증 타입 (대소문자 구분, 일반적으로 첫 글자 대문자)
- 공백: 타입과 토큰 사이의 구분자 (필수)
- Token: 서버로부터 발급받은 문자열
⚠️ 보안 주의사항
🚨 반드시 HTTPS 사용
Bearer 토큰은 소유하기만 하면 누구든 사용할 수 있기 때문에, 네트워크 상에서 탈취당하면 심각한 보안 위협이 됩니다. 따라서 반드시 SSL/TLS(HTTPS) 암호화 통신을 통해 전송해야 합니다.