세션기반 인증방식 질문 있습니다.

안녕하세요 수강생님 ㅎㅎ

1. 그렇다면 세션 id는 새롭게 로그인 할때마다 랜덤한 새로운 세션 id를 부여해주는 건가요?

 >> 네 맞습니다.

2. 그리고 만약에 로그인된 컴퓨터의 세션id를 보고 다른 컴퓨터에서 그 세션 id를 그대로 입력하면 그 아이디로 로그인이 될까요?

>> 세션 ID를 탈취해서 로그인을 한다는 말씀이시죠? 네 가능합니다.

다만, 이를 방지하기 위해 보통의 서비스는 다음과 같은 보안조치가 취해지고 있습니다.

1. 일정시간 동안 활동 없는 사용자에 대한 세션id를 재할당

2. 일정횟수 이상의 인증시패는 잠금기능 제공

3. 로그인 이외의 사용자 2차 인증시스템

4. HTTP가 아닌 HTTPS로 SSL적용

3. 로그 아웃을 하게 되면 서버에서 세션 id를 삭제하나요? 사용하지 않는 세션 id를 가지고 있다면 서버에 과부하가 올 수도 있을 것 같아요

>> 네 삭제합니다. 다만 사용하지 않은 많은 세션id를 서버가 가지고 있다면 과부화가 올 수도 있습니다.

또 질문 있으시면 언제든지 질문 부탁드립니다.

좋은 수강평과 별점 5점은 제가 큰 힘이 됩니다. :)

감사합니다.

강사 큰돌 올림.