로그인 인증 과정 문의
627
작성한 질문수 8
안녕하세요, 강의를 듣고 로그인 하는 과정에서의 궁금증이 생겨 질문 남깁니다.
로그인할 때 유저의 id,비밀번호를 body에 넘기고 있는 사이트를 우연히 발견하게 되면서 보안에 굉장히 취약할 거란 생각을 하게 되었고 몇몇 유명 사이트들을 확인해보니 대부분 네트워크탭 payload에 담기지 않는 것을 확인했습니다.
조금 더 찾아보니 세션id를 활용하는 경우 서버에 로그인 요청할 때 authorization 헤더에 base64로 인코딩해서 전송하는 basic authentication 방식이 있는 것을 확인했습니다.
궁금한 것이 제가 찾아본 내용이 실무에서도 사용되고 있는 방식인지 그렇지 않다면 유저정보를 어떤 방식으로 body에 담지않고 서버에 전송할지 있는지 궁금합니다.
답변 1
0
안녕하세요. SJkim님, 공식 서포터즈 David입니다.
일반적으로 클라이언트 단에서 로그인 정보(id, password) 암호화하여 서버로 보냅니다.
로그인 이후 토큰 또는 세션id를 클라이언트쪽 스토리지에 보관한 뒤 헤더(또는 쿠키)를 통해 보내게 됩니다.
감사합니다.
0
주로, 공개키 암호화를 사용하여 암호화 합니다.
클라이언트에서는 로그인 페이지 접속시, 로그인 정보를 암호화 할 공개키를 함께 요청합니다.
로그인 정보를 입력 받은 후 입력 받은 로그인 정보를 공개키로 암호화한 후 서버로 전송합니다.
캐시무효화시 그냥 no-store만 넣어되지 않나요?
0
71
2
API의 헤더와 바디에 대한 문의 입니다.
0
72
2
수정폼과 수정
0
70
1
쿠키에 대해 질문드려요!
0
90
2
서버에서 캐시 검증 헤더를 직접 처리해야 하나요?
0
90
1
http api get, post 멱등
0
41
1
컬렉션의 개념
0
49
1
시작라인에 들어가는 요청 대상 경로는 상대 경로 아닌가요?
0
54
1
PATCH 는 PUT처럼 멱등이여야 하지 않나요?
0
82
1
리소스 질문드립니다
0
56
1
IP 패킷 질문입니다.
0
59
1
html from, http api
0
76
2
브라우저 캐시가 60초 유효하다는게 무슨 뜻일까요
0
120
1
stateless 무상태 예제가 생각났는데. 저가 생각 한게 맞는지 궁금합니다.
0
100
1
URI 및 URL 질문, 왜 자바(스프링)에서는 이렇게 나누었는지?
0
142
1
host와 port
0
107
1
tcp/ip는 연결을 유지? 아니면 유지하지 않음?
0
146
1
다음 강의 커리큘럼 질문!!
0
131
2
캐시 개념에 대해서 설명하시지는 않으시는건가요?
0
114
1
클라이언트가 patch, delete 요청 시 알아야 하는 url
0
91
1
html form 형태 전송시 new, edit 등 컨트롤 리소스를 사용하는 이유
0
168
2
비 연결성(connectionless) 강의에서 질문입니다~
0
140
1
PATCH를 사용하지 못할 때 왜 POST?
0
163
2
협상과 우선순위3 질문드립니다.
1
130
1