인프런 커뮤니티 질문&답변
작성한 질문수
조금 더 안전한 방법과 조금 더 개선한 방법의 차이
작성
·
307
0
안녕하십니까 강사님 ! 질문있습니다 :)
조금 더 개선한 방법의 원리는 만약 인증이 들어왔을 때, Username 과 시리즈는 일치하지만 토큰이 일치하지 않으면 토큰이 해커에 의해 탈취되었다고 간주해서 모든 토큰을 삭제하는 원리인데, 조금 더 안전한 방법도 Username 은 일치하지만 토큰이 다르면 똑같이 탈취되었다고 간주하고 모든 토큰을 삭제하면 동일하게 동작하지 않을까 하는 궁금증이 생겼습니다.
전자랑 후자 방법 둘다 해싱에 패스워드는 사용되지 않아서 복호화 된다고해도 계정이 탈취당하는 일이 없는데 굳이 시리즈를 이용하는 이유가 있을까요??
퀴즈
회원 가입 시 이메일 인증 절차를 사용하는 가장 중요한 이유가 무엇일까요?
계정 도메인 모델의 복잡성 증가를 위해서
실제 사용자인지 확인하고 스팸 가입을 방지하기 위해
패스워드 인코딩 과정을 간소화하기 위해
프론트엔드 라이브러리 설정을 쉽게 하기 위해
답변 1
1
계속 찾아봤는데 series 가 사용되는 이유는
고유한 구분자로 username(ID)이 아닌 series를 사용하는 이유는 다중 기기나 브라우저에서 자동 로그인 기능을 사용하기 위함입니다. 크롬과 익스플로러에서 둘 다 자동 로그인을 체크하고 로그인하면 username(ID)은 두 개가 생기지만 각각 고유한 series값으로 구분됩니다. 따라서 토큰이 신규 발급된 이후부터는 series 값으로 사용자 정보를 검색합니다.
라는 사실을 알게되었습니다! 제가 제대로 찾은 게 맞을까요??
다음부터는 좀 더 찾아보고 질문해보겠습니다 :)