비밀번호 관련 질문입니다.
로그인 예제를 진행하면서 비밀번호 암호화까지 진행해보고 싶었습니다. 그래서 구글링으로 스프링 시큐리티 기능에서 PasswordEncoder 기능만 살짝 달아서 적용해봤습니다. 그런데 생각해보니 프론트에서 HTTP로 비밀번호를 전송해서 서버 측에서 암호화를 진행하는 방식은 네트워크 상에서 해킹당하면 의미가 없는 거잖아요? 이런 건 HTTPS 적용하는 방법 외엔 적당한 해결책은 없나요?
답변 2
3
안녕하세요. wscrg님, 공식 서포터즈 David입니다.
.
공개키 암호화 방식을 사용하여 로그인 요청 정보를 암호화하는 기능을 추가해보시면 좋을 것 같습니다. 프로세스는 아래와 같습니다.
1. 서버로부터 공개키를 받고
2. 입력받은 로그인 정보를 암호화
3. 서버에 전송
4. 서버는 개인키로 복호화
5. 로그인 정보 검증
아래 글 또한 참고하시면 좋을 것 같아 첨부합니다.
.
감사합니다.
1
안녕하세요, wscrg 님. 공식 서포터즈 codesweaver 입니다.
.
질문하신 것처럼 클라이언트의 모든 입출력과, 모든 트래픽이 인터셉트 된 상태에서는 아무리 HTTPS라고 해도 해킹이 가능하긴 합니다. 그러나 HTTP보다는 훨씬 난이도가 높기에 범죄의 위험이 낮아진다는점에 만족해야 합니다. .
.
범죄 예방에 관해 전문가들은 "범죄를 100% 예방할 수 있는 방법은 없다. 다만 내가 범죄의 대상이 될 확률을 낮출수는 있다"고 말합니다. 그말 그대로 범죄(해킹)에서 100% 안전한 방법은 없습니다. 다만 확률을 낮출뿐이지요.
감사합니다.
이미지 업로드와 db 트랜잭션 묶는법
0
43
1
Could not resolve org.springframework.boot:spring-boot-starter-validation:2.4.4
0
53
2
MessageSourceTest 코드
0
49
1
인터셉터 에러 설정
0
48
1
resolveArgument()메서드 질문
0
57
1
43강 검증1 에서 실패 로직 관련 질문있습니다.
0
58
2
타임리프 3.X 버전 rendering, serializer 에러 해결 방법
2
133
3
스프링 빈에 등록이 안되는거 같은데 어떻게 하면 좋을까요?ㅠㅠ
0
90
3
pdf 오타 문의
0
57
1
ItemUpdateForm 검증 관련 질문입니다.
0
49
1
22page 링크 주소 변경
0
59
2
특정 데이터와 파일을 함께 저장 시, 테이블 구조 질문
0
53
1
섹션3번 수업에 대한 질문입니다.
0
80
2
@Autowired 보다 더 좋은 방법이 어떤 걸까요?
0
85
2
타입컨버터 가 람다랑 비슷해 보이는데 저의 생각이 맞는지?.
0
66
1
자바스크립트 인라인에서 객체 직렬화 시 오류가 납니다
0
142
3
스프링부트 - 오류페이지2 에서 500.html 에서 쓰인 객체 질문
0
63
1
톰캣 에러 페이지가 안보입니다.
0
104
2
apiEceptionController에서 센드 에러 호출하면 안되는지?
0
81
1
세션 타임아웃시 쿠키 삭제 방법이 없나요?
0
118
2
ApiExceptionController 질문드립니다.
0
64
1
셀렉박스 챕터에서 option value에 ==배송 방식 선택== 이것을 넣은 이유가 궁금함, 이렇게 구상해도 되는지?
0
66
1
MemberRepository 필드의 fianl 선언 유무
0
85
2
혹시 index.html 에서는 fragment 사용이 안되는건가요
0
58
1