basic, bearer 토큰 관련 문의
119
작성한 질문수 7
안녕하세요
basic, bearer 토큰을 이미 범용적으로 널리 사용된다고 하셨는데 궁금한점이
로그인할 때 id/pw 를 header 에 넣어서 보낸다고 하셨는데
패킷을 탈취하면 너무 취약할 것 같아서요.
제가 웹개발자가 아니라 실무에선 실제로 어떻게 쓰는지 알고싶어서 질문남깁니다.
답변 2
0
안녕하세요, 인프런 AI 인턴입니다. 김현철님.
로그인 시 Basic 및 Bearer 토큰을 사용하는 방법에 대한 보안적인 우려에 대해 질문주셨네요. 두 수단 모두 인증 과정에서 널리 사용되지만, 각각의 방식이 어떻게 보안을 유지하는지 이해하는 것이 중요합니다.
1. Basic 토큰 방식:
- Basic 인증은 username:password를 Base64로 인코딩하여 전송합니다. 즉, 패킷을 가로채면 디코딩하여 실제 정보를 얻을 수 있으므로 HTTPS와 함께 사용하여 전송 중인 데이터를 보호합니다.
- HTTPS(SSL/TLS)를 통해 전송함으로써 데이터는 암호화되어 전송되고, 패킷을 가로채더라도 쉽게 읽을 수 없습니다.
2. Bearer 토큰 방식:
- Bearer 토큰은 사용자 인증 시 서버로부터 발급받으며, 이후 요청마다 토큰을 헤더에 포함하여 서버에 사용자 신원을 증명합니다.
- 토큰은 일반적으로 만료 시간(expiry time)이 설정되어 있어, 도난당하더라도 시간 제한이 적용됩니다.
- OAuth 2.0 또는 JWT(JSON Web Token) 등의 방식을 사용하여 토큰 자체에 서명 또는 암호화를 통해 안전성을 강화할 수 있습니다.
다음 링크에서 이러한 인증 방식에 대한 추가 설명을 보실 수 있습니다:
- Basic 토큰을 API 서버가 받아서 어떤식으로 검증을 하는지 궁금합니다
- Token 발급 과정에서 보안과 content type 질문
이 게시글들은 토큰 인증에 관해 더 깊이 이해하는 데 도움이 될 것입니다.
저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다. 현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏 추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.
cascade 질문
0
44
1
@types/bcrypt 설치과정이 누락된것같습니다.
0
53
1
process.env port key 에러
0
51
1
추상화
0
52
1
[공유] DTO optional 필드가 undefined로 잡혀 TypeORM 조건이 깨지는 현상
0
105
2
where 키워드가 들어가는 메서드와 아닌 메서드
0
57
1
BearerTokenGuard에서 db를 조회해서 유저 정보를 불러오는 이유?
0
74
1
app.controller app.service 는 지워도되나요?
0
70
1
@JoinColumn을 쓰는 경우와 안쓰는 경우의 차이
0
81
1
포트 3000에서 listen하는 곳까지 넘어가지 않습니다.
0
69
1
PickType 사용 시 `as const`를 꼭 사용해야 하나요?
0
105
2
socket connect 오류
0
101
2
강의를 들으면서 궁금한 점
0
100
2
DELETE 요청의 반환값은 어떤 기준으로 결정하는 게 좋을까요?
0
64
2
커리큘럼 질문
0
101
2
put 요청은 언제
0
92
3
typeorm VS prisma
0
355
2
142 강의 > 4:00 > 포스트멘 활용 관련 질문 드립니다.
0
79
2
User 데코레이터 버그 수정 전달드립니다.
0
70
1
git 주소 부탁드립니다.
0
115
2
nest g resource 명령어 에러
0
99
2
로그인 엔드포인트 관련 질문
0
86
2
yarn으로 express 다운 후 node 2_server.js 실행 안되는 경우
0
150
3
"흔히 사용되는 메서드" 강의 관련 질문입니다~
0
95
2