커스텀 인증상세 구현하기 - WebAuthenticationDetails / AuthenticationDetailsSource 강의 중 질문이 있습니다
284
작성한 질문수 6
<input type="hidden" th:value="secret" name="secret_key" />에서 hidden으로 안보이게 숨겨는 놨지만 f12를 눌러 소스코드를 보면 결국 이 value값이 보이는데 보안상에는 문제가 없는건가요?
만약 문제가된다면 어떻게 해결하면 되나요?
답변 2
1
사실 보안에 중요한 데이터는 위와 같이 보내는 것은 지양해야 합니다.
만약 보낸다면 서버에서 암호화 해서 보내고 다시 SSL 로 전송하는 식으로 해야 합니다.
그래서 중요한 데이터 보다는 비 보안 데이터 통신 시 활용하는 것이 좋습니다.
0
안녕하세요, 인프런 AI 인턴입니다.
<input type="hidden" 타입을 사용하여 사용자에게 보이지 않게 정보를 숨기더라도, F12 개발자 도구를 이용해 소스 코드를 볼 수 있기 때문에 중요한 정보를 이런 방식으로 전송하는 것은 보안상 문제가 있을 수 있습니다. 보안상 중요한 정보는 이런 방식으로 페이지에 직접 포함시키기보다는 서버 사이드에서 관리하는 것이 좋습니다.
문제를 해결하는 방법으로는 여러 가지가 있을 수 있지만, 가장 일반적인 방법은 서버 사이드에서 해당 정보를 관리하고, 사용자와의 인증 토큰이나 세션을 통해 사용자가 누구인지 식별하는 방법입니다. 정보를 프론트엔드로 직접 전달하지 않고, 서버에서 필요한 처리를 한 후 그 결과만을 클라이언트에게 전달하는 방식입니다.
또한, 중요한 정보의 전송에는 HTTPS와 같은 안전한 통신 프로토콜을 사용하여 데이터가 암호화되어 전송되도록 하는 것이 중요합니다. 이와 함께 웹 애플리케이션 보안에 관련된 추가적인 조치들(예: CSRF 토큰 사용)을 취하면 보안성을 높일 수 있습니다.
로그아웃-logout()-2 강에서 겟방식 로그아웃 호출 후 화면이동 질문입니다.
0
36
2
단원별 소스코드
0
66
2
CustomAuthenticationProvider 추가 관련 문의
0
78
2
AOP 의존성 명칭 변경
0
77
1
빈 1개 등록 시 다른 해결 방법
0
70
1
@Bean으로 AuthenticationProvider를 등록 시 http.authenticationProvider 함수를 이용해서 추가해줘야되나요?
0
87
2
OIDC의 id token에 담긴 데이터에 대해
0
78
1
loginPage("/loginPage") 질문드립니다.
0
69
1
@EnableWebSecurity
0
148
1
트랜잭션과 롤백
0
100
1
68. 인증 이벤트 - AuthenticationEventPublisher 활용 강좌 음성 문제
0
91
2
AuthenticationManager 사용 방법
0
153
2
HttpSecurity.authorizeHttpRequests() - 2 강의 부분에 대한 질문
0
108
2
spring security 6.3에서는 HttpSecurity가 만들어지기 전 WebSecurity가 먼저 만들어지는게 맞나요??
0
192
1
init(B Builder), configure(B builder) 에 대하여 질문 드립니다.
0
109
2
메타 주석 질문
0
69
1
동시세션제어 기능에서 로그아웃하기
0
152
3
로그인 후, redirect 에서 error
0
141
3
Session 생성 타이밍에 대한 질문
0
86
2
강의 참고 내용을 개발 로그로 작성해도 될지 문의드립니다.
0
135
2
customAuthentication 관련
0
132
2
authenticationManagerBuilder 주입받은거 vs 만든 거
0
114
1
UserDetailsService()에서 UserDetail이 아닌 타입을 반환할 수 있나요?
0
101
1
9:28 패턴 3의 경우 마지막으로 설정한 것만 적용되는 것 같습니다.
0
162
2