• 카테고리

    질문 & 답변

  • 세부 분야

    백엔드

  • 해결 여부

    미해결

조금 더 안전한 방법과 조금 더 개선한 방법의 차이

21.11.03 10:00 작성 조회수 156

0

안녕하십니까 강사님 ! 질문있습니다 :)

조금 더 개선한 방법의 원리는 만약 인증이 들어왔을 때,  Username 과 시리즈는 일치하지만 토큰이 일치하지 않으면 토큰이 해커에 의해 탈취되었다고 간주해서 모든 토큰을 삭제하는 원리인데, 조금 더 안전한 방법도 Username 은 일치하지만 토큰이 다르면 똑같이 탈취되었다고 간주하고 모든 토큰을 삭제하면 동일하게 동작하지 않을까 하는 궁금증이 생겼습니다.

전자랑 후자 방법 둘다 해싱에 패스워드는 사용되지 않아서 복호화 된다고해도 계정이 탈취당하는 일이 없는데 굳이 시리즈를 이용하는 이유가 있을까요?? 

course-thumbnail

스프링과 JPA 기반 웹 애플리케이션 개발

로그인 기억하기

강의실 바로가기

답변 1

답변을 작성해보세요.

1

codren님의 프로필

codren

질문자

2021.11.03

계속 찾아봤는데 series 가 사용되는 이유는

고유한 구분자로 username(ID)이 아닌 series를 사용하는 이유는 다중 기기나 브라우저에서 자동 로그인 기능을 사용하기 위함입니다. 크롬과 익스플로러에서 둘 다 자동 로그인을 체크하고 로그인하면 username(ID)은 두 개가 생기지만 각각 고유한 series값으로 구분됩니다. 따라서 토큰이 신규 발급된 이후부터는 series 값으로 사용자 정보를 검색합니다. 

라는 사실을 알게되었습니다! 제가 제대로 찾은 게 맞을까요??

다음부터는 좀 더 찾아보고 질문해보겠습니다 :)

이 글과 비슷한 Q&A