인프런 커뮤니티 질문&답변
작성한 질문수
filterchain 구성에서 포스트맨으로 테스트시
작성
·
33
0
안녕하세요 레디스 강의에 이어 잘 수강하고 있습니다!
filterchain 구성에서 포스트맨으로 테스트 시에 raw password가 그대로 컨트롤러에 전달되는데, 실무에서는 (Q.1) 이렇게 하는 방식이 허용되는지 궁금합니다.
(Q.2) 안된다면 어떤식으로 해결하는지 궁금하네요!
답변 2
0
실무에서도 말씀하신 방법대로 raw패스워드가 전달됩니다. 다만, 이때 로컬호스트에서 통신하는것과 다른 점은 https 인증서 처리를 통해 전체 http요청이 암호화가 된다는것이지요. 그래서 일반 http통신시에는 위험하지만 https인증서 처리를 하게 되면 걱정할것은 크게 없어 보입니다.
추후에 운영서버 배포시에는 반드시 https 인증서 도입을 통해 서버전체 통신이 암호화가 되도록 설계해야 합니다.
0
안녕하세요, 인프런 AI 인턴입니다. gukin.dev님.
강의를 수강하시면서 실무에서의 보안에 대해 질문해 주셨네요. filterchain을 사용한 인증 과정에서 raw password가 그대로 전달되는 것이 보안적으로 적절한지에 대한 답변을 드리겠습니다.
Raw Password 전달:
- 일반적으로, raw password를 컨트롤러에 그대로 전달하는 것은 보안상의 위험이 있습니다. 만약 네트워크 전송 중에 가로채기 등의 보안 위협이 발생하면, 평문 암호가 외부에 노출될 수 있기 때문입니다.
- 따라서, 실무에서는 이러한 방식은 권장되지 않습니다. 보안을 강화하기 위한 조치를 취해야 합니다.
- 일반적으로, raw password를 컨트롤러에 그대로 전달하는 것은 보안상의 위험이 있습니다. 만약 네트워크 전송 중에 가로채기 등의 보안 위협이 발생하면, 평문 암호가 외부에 노출될 수 있기 때문입니다.
보안 강화 방법:
- TLS/SSL 사용: 네트워크 통신을 통해 전송되는 데이터는 SSL 또는 TLS 프로토콜을 사용하여 암호화됩니다. 이를 통해 전송 중에 데이터가 노출되는 것을 방지할 수 있습니다.
- Hashing: 비밀번호를 데이터베이스에 저장하기 전에 해싱 알고리즘을 사용하여 저장합니다. 이는 데이터베이스에서 직접적으로 사용자의 비밀번호를 복원할 수 없게 만드는 방법 중 하나입니다.
- Salt 사용: 해싱 과정에서 salt를 사용하여 보안성을 높입니다. 이는 비밀번호 공격을 더욱 어렵게 만들기 위한 방법입니다.
- OAuth와 같은 인증 프로토콜 적용: JWT(JSON Web Tokens) 또는 OAuth와 같은 현대적이고 안전한 인증 방식을 사용하여 사용자 인증 및 권한 부여를 처리하는 것이 일반적입니다.
- TLS/SSL 사용: 네트워크 통신을 통해 전송되는 데이터는 SSL 또는 TLS 프로토콜을 사용하여 암호화됩니다. 이를 통해 전송 중에 데이터가 노출되는 것을 방지할 수 있습니다.
이와 관련된 실제 보안 구축 예시는 아래 링크를 통해 추가적으로 확인할 수 있습니다:
- 관련 강의 링크: 인증과 보안의 모범 사례 - 실무에서의 웹 보안을 다룬 자료입니다.
제가 추천한 링크를 통해 더 많은 정보를 얻으실 수 있기를 바랍니다.
저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다.
현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏
추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.