사용자를 인증하고 식별하기 위한 정보들을 암호화 시킨 토큰JSON 데이터를 base64로 인코딩하여 직렬화하는 방식쿠키를 통해 클라이언트(로컬 스토리지)에 저장HTTP 요청 시 헤더에 토큰을 첨부하는 것 만으로 데이터를 요청하고 응답을 받을 수 있음. 을 기준으로 He
1HTTP 기본 인증 방식BASE64로 인코딩된 사용자의 아이디, 패스워드 username:password 를 요청 헤더에 담아서 요청a. semyeong:1234b. Basic c2VteWVvbmc6MDAwMTMHTTP 에서 사용할 경우 민감 정보를 탈취 당할 가능성
토큰의 Header 와 Claim 을 마샬링한다.마샬링한 Header와 Claim 을 base64로 인코딩해서 base64EncodedHeader.base64EncodedClaim 형태의 string 값을 만든다.지정한 해시 알고리즘과 secret key 로 HMAC
중복 로그인 방지를 위해 가장 최근에 생성된 토큰을 DB 에 저장하고 토큰 검증할 때 최근 발급된 토큰인지 검증하기 위함.데이터 베이스가 해킹되거나 무단 접근을 당할 경우, 공격자가 Access Token 을 탈취하여 사용자의 권한을 악용할 수 있습니다.API 요청이
HTTP 프로토콜은 Connectionless 하고 Stateless 하기 때문에 이전 데이터를 유지하지 않는다. 이러한 약점을 보완하기 위해 데이터 유지가 필요한 경우 쿠키와 세션을 사용한다.HTTP의 일종으로 사용자가 어떠한 웹사이트에 접근했을 때, 그 사이트가 사
공격자가 악성 스크립트를 웹사이트에 삽입하여 사용자에게 실행시키는 공격주로 사용자의 권한 및 토큰 탈취 목적사용자가 특정 사이트를 신뢰한다는 사실을 이용한 공격 방식공격자가 악성 스크립트를 포함하는 url 을 만들고 사용자에게 전송한다.사용자가 url 을 클릭하면 악성
애플리케이션의 규모가 커지고 트래픽이 증가할 때 세션 관리에 어려움이 발생할 수 있다.결론적으로 세션의 확장성 문제 3가지 원인 모두 세션을 관리하는 주체가 서버이기 때문에 발생하는 문제이므로, JWT 토큰을 사용하면 해결될 것으로 보인다.
제3자 서비스에서 유저의 페이스북 친구목록을 연동한다던가 페이스북, 트위터 같은 SNS에 대신 글을 남기는 기능을 만들 수 있을 것이다.단순하게 위 사진과 같은 방법을 사용하면 후디 닷컴 데이터베이스를 통해서 페이스북의 ID/PW 가 탈취 당했을 경우 피해 규모가 어마
google OAuth 2.0 인증 정보 만들기만든 후 인증 JSON 파일 다운로드env 파일에 client_id 와 client_secret 설정go 프로젝트 생성googleLoginHandler 구현a. API 엔드포인트는 http://localhost:3