질문있습니다

Question

안녕하세요 강사님 API 파라미터 변조에 대한 질문인데요 현재 프로젝트 구조는 프론트앤드 Vuejs, 백앤드는 spring boot로 API 제공 역할을 하고 있습니다 현재 인증방식은 세션 인증방식을 사용중이고 최초 인증 후 세션에 사용자 정보를 담아, 이후 API 요청에 대해서 인터셉터를 적용하여 인증된 사용자만 API에 접근할 수 있도록 하고 있습니다 하지만 특정 사용자가 포스트맨 같은 툴을 사용하여 인증을 완료후 API에 요청을 날릴때 특정 파라미터를 변조하거나 할 경우는 어떻게 보안처리를 할 수 있나요? 현재 통신 프로토콜은 HTTP 사용중인데, HTTPS를 사용하면 이러한 문제를 해결할 수 있나요?

David · Answer

안녕하세요. zosel0434 님, 공식 서포터즈 David입니다. 직접 인증은 받은 사용자가 API를 변조하여 요청하는 것을 막을 방법은 없습니다. 따라서 서버는 API를 통해 전달되는 파라미터들을 검증해야 합니다. 만약 직접 인증 받은 사용자가 아니라 중간에 제3자가 패킷을 가로채서 파라미터를 변조하는 게 문제라면 클라이언트에서 파라미터를 암호화를 하여 서버로 보내는 방법이 있습니다. 감사합니다.