왜 UUID로 find하지 않고 SESSION_COOKIE_NAME으로 find 하나요?
846
작성한 질문수 16
왜 UUID로 find하지 않고 SESSION_COOKIE_NAME으로 find 하나요?
그렇게하면 보안상 사용한다던 UUID가 의미가 없지않나요?
해킹하는 사람 입장에서는 쿠키 이름만 알아도 정보를 가져올수있으니까요
답변 1
0
안녕하세요. 김카프리오님, 공식 서포터즈 David입니다.
session을 가져올 때 cookie의 value(UUID)로 가져옵니다.
SESSION_COOKIE_NAME은 UUID를 담고 있는 key이고요.
그리고 애초에 쿠키(key:SESSION_COOKIE_NAME, value:UUID)는 클라이언트에서는 노출된 상태입니다.
보안상 UUID를 사용하는 것은 쿠키를 탈취당하지 않은 상태에서 해커가 브루트포스 기법을 통해 session id를 유추하지 못하게 하기 위한 것입니다.
그래서 탈취 당했을 때를 대비해 쿠키 유지 시간을 짧게 주는 것이고요.
정말 보안이 중요하다면 별도로 암호화 하는 것이 확실한 방법입니다.
감사합니다.
이미지 업로드와 db 트랜잭션 묶는법
0
43
1
Could not resolve org.springframework.boot:spring-boot-starter-validation:2.4.4
0
53
2
MessageSourceTest 코드
0
49
1
인터셉터 에러 설정
0
48
1
resolveArgument()메서드 질문
0
57
1
43강 검증1 에서 실패 로직 관련 질문있습니다.
0
58
2
타임리프 3.X 버전 rendering, serializer 에러 해결 방법
2
133
3
스프링 빈에 등록이 안되는거 같은데 어떻게 하면 좋을까요?ㅠㅠ
0
90
3
pdf 오타 문의
0
57
1
ItemUpdateForm 검증 관련 질문입니다.
0
49
1
22page 링크 주소 변경
0
59
2
특정 데이터와 파일을 함께 저장 시, 테이블 구조 질문
0
53
1
섹션3번 수업에 대한 질문입니다.
0
80
2
@Autowired 보다 더 좋은 방법이 어떤 걸까요?
0
85
2
타입컨버터 가 람다랑 비슷해 보이는데 저의 생각이 맞는지?.
0
66
1
자바스크립트 인라인에서 객체 직렬화 시 오류가 납니다
0
142
3
스프링부트 - 오류페이지2 에서 500.html 에서 쓰인 객체 질문
0
63
1
톰캣 에러 페이지가 안보입니다.
0
104
2
apiEceptionController에서 센드 에러 호출하면 안되는지?
0
81
1
세션 타임아웃시 쿠키 삭제 방법이 없나요?
0
118
2
ApiExceptionController 질문드립니다.
0
64
1
셀렉박스 챕터에서 option value에 ==배송 방식 선택== 이것을 넣은 이유가 궁금함, 이렇게 구상해도 되는지?
0
66
1
MemberRepository 필드의 fianl 선언 유무
0
85
2
혹시 index.html 에서는 fragment 사용이 안되는건가요
0
58
1