세션기반 인증방식 질문 있습니다.
처음 로그인을 할 때 서버측에서 세션 id를 클라이언트에게 넘겨주면 세션 id를 통해서 페이지를 이동할 때마다 로그인 상태를 유지시켜주는 것으로 알고 있습니다.
그렇다면 세션 id는 새롭게 로그인 할때마다 랜덤한 새로운 세션 id를 부여해주는 건가요?
그리고 만약에 로그인된 컴퓨터의 세션id를 보고 다른 컴퓨터에서 그 세션 id를 그대로 입력하면 그 아이디로 로그인이 될까요?
로그 아웃을 하게 되면 서버에서 세션 id를 삭제하나요? 사용하지 않는 세션 id를 가지고 있다면 서버에 과부하가 올 수도 있을 것 같아요
Câu trả lời 1
1
안녕하세요 수강생님 ㅎㅎ
그렇다면 세션 id는 새롭게 로그인 할때마다 랜덤한 새로운 세션 id를 부여해주는 건가요?
>> 네 맞습니다.
그리고 만약에 로그인된 컴퓨터의 세션id를 보고 다른 컴퓨터에서 그 세션 id를 그대로 입력하면 그 아이디로 로그인이 될까요?
>> 세션 ID를 탈취해서 로그인을 한다는 말씀이시죠? 네 가능합니다.
다만, 이를 방지하기 위해 보통의 서비스는 다음과 같은 보안조치가 취해지고 있습니다.
1. 일정시간 동안 활동 없는 사용자에 대한 세션id를 재할당
2. 일정횟수 이상의 인증시패는 잠금기능 제공
3. 로그인 이외의 사용자 2차 인증시스템
4. HTTP가 아닌 HTTPS로 SSL적용
로그 아웃을 하게 되면 서버에서 세션 id를 삭제하나요? 사용하지 않는 세션 id를 가지고 있다면 서버에 과부하가 올 수도 있을 것 같아요
>> 네 삭제합니다. 다만 사용하지 않은 많은 세션id를 서버가 가지고 있다면 과부화가 올 수도 있습니다.
또 질문 있으시면 언제든지 질문 부탁드립니다.
좋은 수강평과 별점 5점은 제가 큰 힘이 됩니다. :)
감사합니다.
강사 큰돌 올림.
REST API (Self-descriptive messages)
0
22
1
시스템 엔지니어 관련 질문입니다.
0
50
2
오버라이딩 관련하여 질문드립니다.
0
62
2
교착상태의 4가지 필요조건이 필요충분조건이 아닌 이유
0
89
1
렌더 트리, 렌더 레이어와 그래픽 레이어
0
56
2
로컬스토리지, 세션스토리지, 쿠키의 공통점
0
67
1
IPv4가 IPv6보다 빠른 경우
0
98
2
UDP가 전송계층의 역할을 못하는 건 아닌지
0
59
1
Path MTU 발견하였음에도 패킷 분할이 필요한 이유?
0
65
2
교재의 LFU 알고리즘에서 6번이 왜 히트인가요?
0
64
2
페이지 교체 알고리즘? 프레임 교체 알고리즘?
0
81
2
Static 키워드가 메모리에 올라가는 시점
0
76
2
헤더 압축부분 질문드립니다
0
72
2
공유 캐시 관련 질문 드립니다.
0
56
2
컨텍스트는 context와 contextual information으로 나눠진다는게 무슨뜻인가요?
0
198
1
회선과 대역폭의 관계
0
60
2
44강 질문
0
92
2
버스 토폴로지 질문 있씁니다
0
53
1
자바스크립트, xml 문법 관련
0
66
2
전략패턴과 의존성주입 질문
0
69
2
Model이 비즈니스 로직을 담당하나요?
0
106
2
CS 공부 하는 법
0
181
2
큰돌님 블로그에 개념정리해서 올려도될까요!
0
137
2
FIN 세그먼트 질문
0
70
2