평행우주 : world 1

토큰기반 인증 (Token-based Authentication) 세션 기반 인증은 서버(혹은 DB)에 유저 정보를 담는 인증 방식으로, 서버에서는 유저가 민감하거나 제한된 정보를 요청할 때마다 가지고 있는 세션 값과 일치하는지 확인한다 매 요청마다 데이터베이스를 살펴보는 것이 불편하고, 이 부담을 덜어내고 싶을 때, 토큰기반 인증 중 대표적인 JWT (JSON Web Token)을 사용할 수 있다 클라이언트에서 인증 정보 보관하기 클라이언트에서 인증 정보를 보관하는 방법으로 토큰기반 인증이 고안됨 클라이언트는 XSS, CSRF공격에 노출이 될 위험이 있으니 민감한 정보를 담고 있어서는 안 되지만, 토큰은 유저 정보를 암호화한 상태로 담을 수 있고, 암호화했기 때문에 클라이언트에 담을 수 있다 JWT의 ..

세션기반 인증 로그인 서버가 인증(Authentication)에 성공했다고 판단한 이후, 인증을 필요로 하는 작업(그림에서와 같이, 장바구니에 물품 추가)을 요청할 때, 서버는 아이디 및 비밀번호의 해시를 이미 알고 있기 때문에, ("인증에 성공했음"을 서버가 알고 있다면)매번 로그인할 필요가 없을 것 인증에 따라 리소스의 접근 권한(Authorization)이 달라진다 서버와 클라이언트에 각각 필요한 것 서버는 사용자가 인증에 성공했음을 알고 있어야 한다 클라이언트는 인증 성공을 증명할 수단을 갖고 있어야 한다. +) 보충 설명 사용자가 인증에 성공한 상태가 세션 서버는 일종의 저장소에 세션을 저장. (그림 2) 주로 in-memory, 또는 세션 스토어(redis 등과 같은 트랜잭션이 빠른 DB)에 ..

* 하이라이트 : 문제 조건 Part I - Session Achievement Goals 세션의 개념 이해 쿠키와 세션은 서로 어떤 관계이며, 각각이 인증에 있어서 어떤 목적으로 존재하는지 이해 세션의 한계 이해 Getting Started 쿠키를 학습하고, 브라우저에 상태를 저장할 수 있다는 사실을 알게 된 주니어 개발자 김코딩은, 쿠키에 인증 정보를 넣어 로그인 상태를 유지할 수 있음을 알게 되었습니다. 그러나, 선배 개발자 박코딩은, 쿠키만으로 인증을 구현하는 것은 언제든 쿠키가 클라이언트에 의해 변조가 가능하기 때문에 위험하다는 사실을 알려줍니다. 이에 따라 서버에도 쿠키를 검증할 수 있는 수단을 마련하는 세션 인증 방식을 제안합니다. 1. 환경 변수 설정 시작하기에 앞서 .env.example..

🍪 Cookie 사용자를 식별하고 세션을 유지하는 방식 중 가장 널리 사용됨 쿠키는 서버에서 클라이언트에 데이터를 저장하는 방법 중 하나로 서버가 원한다면 서버는 클라이언트에서 쿠키를 이용하여 데이터를 가져올 수 있다 쿠키를 이용하는 것은 단순히 서버에서 클라이언트에 쿠키를 전송하는 것만 의미하지 않고 클라이언트에서 서버로 쿠키를 전송하는 것도 포함된다 쿠키의 기본적인 발상은 브라우저가 서버 관련 정보를 저장하고, 사용자가 해당 서버에 접근할 때마다 그 정보를 함께 전송하게 하는 것 브라우저는 쿠키 정보를 저장할 책임이 있는데 이 시스템을 '클라이언트 측 상태'라고 한다 서버를 통한 클라이언트 데이터 저장 서버는 쿠키를 이용하여 데이터를 저장하고 원할 때 이 데이터를 다시 불러와 사용할 수 있다. 그러나..

🔐 HTTPS 프로토콜 HTTPS(Hyper Text Transfer Protocol Secure Socket layer) HTTP over SSL(TLS), HTTP over Secure HTTPS는 HTTP 요청을 SSL 혹은 TLS라는 알고리즘을 이용해, HTTP 통신을 하는 과정에서 내용을 암호화하여 데이터를 전송하는 방법 인증에서 HTTPS 프로토콜을 사용해야만 하는 이유는 HTTP보다 상대적으로 안전한 방법이고, 데이터 제공자의 신원을 보장받을 수 있기 때문 데이터 제공자의 신원을 확인하고 보장받는 게 인증에서 중요한 이유 클라이언트는 데이터 제공자가 제공해준 데이터를 사용할 수밖에 없다 클라이언트는 서버에 데이터 요청을 하고 이후 받은 데이터를 이용해서 화면을 렌더링하는 등의 작업을 해야 한..