| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | |||
| 5 | 6 | 7 | 8 | 9 | 10 | 11 |
| 12 | 13 | 14 | 15 | 16 | 17 | 18 |
| 19 | 20 | 21 | 22 | 23 | 24 | 25 |
| 26 | 27 | 28 | 29 | 30 | 31 |
Tags
- 자료구조 #알고리즘
- vp #vc #did #신원인증 #블록체인
- 페이스북유니버시티 #마케팅교육 #마케팅캠프
- 미쉬킨의화폐와금융 #미쉬킨 #화폐금융론 #화폐와금융 #경제학 #교양 #경제지식 #경제공부
- #국제채권시장 #유로본드 #유로커런시 #유로달러 #외국채 #금융중개기관 #간접금융 #거래비용#다우존스공업평균지수 #나스닥종합지수 #FTSE100 #DAX #CAC40 #straittimes #항생지수 #거래비용 #유동성 #위
- html #js #parsing
- 블록체인 #layer2 #레이어2 #이더리움스케일링
- #경제상식 #화폐 #금융 #화폐금융론 #경제학 #경제기본 #경제지식 #경제근육 #투자지식 #경제공부 #경제학전공 #금융이란 #화폐란 #금융시장 #금융시장역할 #화폐역할 #화폐역기능 #금융역기능 #
Archives
- Today
- Total
평행우주 : world 1
[인증 | 보안] Cookie 본문
🍪
Cookie
- 사용자를 식별하고 세션을 유지하는 방식 중 가장 널리 사용됨
- 쿠키는 서버에서 클라이언트에 데이터를 저장하는 방법 중 하나로
- 서버가 원한다면 서버는 클라이언트에서 쿠키를 이용하여 데이터를 가져올 수 있다
- 쿠키를 이용하는 것은 단순히 서버에서 클라이언트에 쿠키를 전송하는 것만 의미하지 않고
- 클라이언트에서 서버로 쿠키를 전송하는 것도 포함된다
- 쿠키의 기본적인 발상은 브라우저가 서버 관련 정보를 저장하고,
- 사용자가 해당 서버에 접근할 때마다 그 정보를 함께 전송하게 하는 것
- 브라우저는 쿠키 정보를 저장할 책임이 있는데 이 시스템을 '클라이언트 측 상태'라고 한다
서버를 통한 클라이언트 데이터 저장
서버는 쿠키를 이용하여 데이터를 저장하고 원할 때 이 데이터를 다시 불러와 사용할 수 있다.
그러나 데이터를 저장한 이후 아무 때나 데이터를 가져올 수 없고,
데이터를 저장한 이후 특정 조건들이 만족하는 경우에만 다시 가져올 수 있다.
이런 조건들은 쿠키 옵션으로 표현한다
쿠키옵션
1. Domain
- 쿠키 옵션에서 도메인은 포트 및 서브 도메인(www 같은 도메인 앞에 추가로 작성되는 부분) 정보, 세부 경로를 포함하지 않는다.
- URL이 http://www.localhost.com:3000/users/login 일 경우Domain은 localhost.com
- 만약 쿠키 옵션에서 도메인 정보가 존재한다면 클라이언트에서는 쿠키의 도메인 옵션과 서버의 도메인이 일치해야만 쿠키를 전송 가능
2. Path
- 세부 경로는 서버가 라우팅할 때 사용하는 경로
- URL이 http://www.localhost.com:3000/users/login 인 경우라면 여기에서 Path, 세부 경로는 /users/login
- 명시하지 않으면 기본으로 / 으로 설정된다.
- 설정된 path를 전부 만족하는 경우 요청하는 Path가 추가로 더 존재하더라도 쿠키를 서버에 전송할 수 있다.
- 즉 Path가 /users로 설정되어 있고, 요청하는 세부 경로가 /users/login 인 경우 쿠키 전송 가능
- 하지만 /user/login으로 전송되는 요청은 Path 옵션을 만족하지 못하기 때문에 서버로 쿠키 전송 불가
3. MaxAge or Expires
- 쿠키가 유효한 기간을 정하는 옵션
- MaxAge는 앞으로 몇 초 동안 쿠키가 유효한지 설정하는 옵션
- Expires 언제까지 유효한지 Date 지정
- 이때 클라이언트의 시간을 기준으로 한다
- 이후 지정된 시간, 날짜를 초과하게 되면 쿠키는 자동으로 파괴된다
- 두 옵션이 모두 지정되지 않는 경우, 브라우저의 탭을 닫아야만 쿠키가 제거 가능
4. Secure
- 쿠키를 전송해야 할 때 사용하는 프로토콜에 따른 쿠키 전송 여부 결정
- 해당 옵션이 true로 설정된 경우, 'HTTPS' 프로토콜을 이용하여 통신하는 경우에만 쿠키 전송
5. HttpOnly
- 자바스크립트에서 브라우저의 쿠키에 접근 여부 결정.
- 만약 해당 옵션이 true로 설정된 경우, 자바스크립트에서 쿠키에 접근 불가
- 명시되지 않는 경우 기본으로 false로 지정
- 만약 이 옵션이 false인 경우 자바스크립트에서 쿠키에 접근이 가능하므로 'XSS' 공격에 취약.
6. SameSite
- Cross-Origin 요청을 받은 경우 요청에서 사용한 메소드와 해당 옵션의 조합으로 서버의 쿠키 전송 여부 결정
- 옵션들을 지정한 다음 서버에서 클라이언트로 쿠키를 처음 전송하면 헤더에 Set-Cookie라는 프로퍼티에 쿠키를 담아 쿠키 전송
- 이후 클라이언트 혹은 서버에서 쿠키를 전송해야 한다면 클라이언트는 헤더에 Cookie라는 프로퍼티에 쿠키를 담아 서버에 쿠키 전송
사용 가능한 옵션
- Lax :Cross-Origin 요청이면 'GET' 메소드에 대해서만 쿠키를 전송할 수 있습니다.
- Strict : Cross-Origin이 아닌 same-site 인 경우에만 쿠키를 전송 할 수 있습니다.
- None: 항상 쿠키를 보내줄 수 있습니다. 다만 쿠키 옵션 중 Secure 옵션이 필요합니다.
- 이때 'same-site'는 요청을 보낸 Origin과 서버의 도메인이 같은 경우를 말합니다.
쿠키를 이용한 상태 유지
- 쿠키의 특성을 이용하여 서버는 클라이언트에 인증정보를 담은 쿠키를 전송하고,
- 클라이언트는 전달받은 쿠키를 요청과 같이 전송하여 Stateless 한 인터넷 연결을 Stateful 하게 유지한다
- 하지만 기본적으로는 쿠키는 오랜 시간 동안 유지될 수 있고,
- 자바스크립트를 이용해서 쿠키에 접근할 수 있기 때문에 쿠키에 민감한 정보를 담는 것은 위험하다
- 이런 인증정보를 탈취하여 서버에 요청을 보낸다면 서버는 누가 요청을 보낸 건지 상관하지 않고 인증된 유저의 요청으로 취급하기 때문에, 개인 유저 정보 같은 민감한 정보에 접근이 가능해진다
'텃밭 3 : BE > 인증 | 보안' 카테고리의 다른 글
| [인증 | 보안] Token-based Authentication , JWT (0) | 2022.02.18 |
|---|---|
| [인증 | 보안] Session-based Authentication (0) | 2022.02.18 |
| [실습 | 인증 보안] sprint-auth-session (0) | 2022.02.17 |
| [인증 | 보안] HTTPS 프로토콜 개념과 서버 구현 방법 (0) | 2022.02.17 |
'텃밭 3 : BE/인증 | 보안' Related Articles
more
Comments