session 기반 인증(session-based authentication) 구현 실습 학습 목표 * 세션의 개념을 이해 -> 접속 상태를 서버가 가지는(stateful) 인증 방식 * 쿠키와 세션은 서로 어떤 관계이며, 각각이 인증에 있어서 어떤 목적으로 존재하는지 이해하기 -> 쿠키는 단순히 무상태성을 보완해주는 도구일 뿐, 인증이 아니다 -> 세션은 인증 과정에 쿠키를 이용해서 인증 작업을 하고 세션을 열어준다고 보면 된다 -> 접속 상태와 권한 부여를 위해 세션 아이디를 쿠키로 전송하므로... * 세션의 한계를 이해 -> 서버에서 인증 정보를 가지므로 서버가 부담을 가짐(성능 저하 이슈) -> 분산에 불리 -> 여전히 쿠키를 사용하는 방식이므로 XSS공격에 취약점 존재 getting starte..

인증/보안 – 기초 1 HTTPS HTTP + Secure → HTTP 프로토콜 내용을 암호화(보안성) HTTP 요청을 SSL 혹은 TLS 알고리즘을 이용해서 내용을 암호화 TLS는 SSL의 진화버전?이라고 보면 되는데, 통상 같이 부른다 // HTTPS의 특징 * 인증서 * CA * 비대칭키 암호화 인증서(Certificate) 데이터 제공한 서버가 정말로 데이터를 보낸 서버가 맞는지 확인하는 용도 데이터 제공자 신원 보장 도메인 종속 - 도메인 정보가 들어가 있음 기본 로직은 다음과 같다 1. Client가 인증서(domain 정보 포함)와 함께 서버에 요청 2. 서버는 인증서와 함께 응답을 전송 3. Client는 인증서에 작성된 domain과 응답(res) 객체에 작성된 domain을 비교 → d..