# Token

[인증/보안] Token
서버혹은 DB에 유저 정보를 담는 방식의 세션 기반 인증 방식은매 요청마다 데이터베이스를 살펴봐야하는 부담이 있다.이 부담을 클러이언트에게 넘겨주는 방식이 고안되었다.토큰 기반 인증 중 대표적인 인증방식이다.클라이언트는 XSS, CSRF 공격에 노출이 될 위험이 있으니

[Web] Authentication & Authorization(1) - Authorization (+ JWT)
요청을 보낸 유저가 그 서비스를 이용할 수 있는 유저인지 확인하는 절차서버에 로그인을 성공한 유저는 서버가 발행한 토큰을 발급받음통상적으로, ACCESS TOKEN 이라고 부르며, 토큰에는 User id 같은 아주 중요한 정보가 아니면서도 유저를 확실하게 구분할 수 있
JWT Access Token , Refresh Token
Json 포맷을 이용하여 사용자에 대한 속성을 저장하는 Claim기반 WebToken인증에 필요한 정보들을 암호화시킨 토큰 이다.JWT 기반 인증은 JWT Token ( Access Token) 을 HTTP 헤더에 실어 서버가 클라이언트를 식별하는 방식이다.서버의 세션

Postman에서 Token 값 저장하기
Spring Security + JWT 를 이용해서 로그인 구현을 하고 기능이 잘 동작 되는지 테스트 하기 위해 Postman을 켰으나, 한 가지 불편한 점이 있었다.내가 만든 API들은 토큰이 없으면 접근을 못하도록 만들어 놓았는데, 위와 같이 발급된 Bearer 긴
send frontenad.token to backend
들어가기front에서 query나 mutation을 실행시킬떄, back에 token을 보내주어야되는 경우가 많이 있다. back쪽의 query나 mutation들이 token이 있어야실행되는 경우가 많이 있기 때문이다이 문법은 바뀔수가 있으니, 공식 문서를 꼭 참고할

token, XSS, CSRF
토큰은 분야별 의미가 다르다.프로그래밍 언어에서는 문법적으로 더 이상 나눌 수 없는 기본적인 언어요소를 뜻하는데하나의 키워드나 연산자 혹은 구두점 등이 토큰이 될 수 있다.네트워크에서 말하는 토큰은 네트워크를 따라 돌아다니는 일련의 비트열로컴퓨터는 네트웍을 따라 순환하

token, XSS, CSRF
JSON Web Token, 줄여서 jwt는 서버에서 사용자를 식별할 수 있는 정보를 담아 클라이언트에 내려줄 때 쓰는 토큰이다.서버가 한 번 인증한 사용자에게 카드키를 준 거라고 생각하면 쉽다.토큰을 받은 클라이언트는 다음에 따로 인증을 하지 않아도 토큰을 이용해 로
token, XSS, CSRF
token은 우리가 개인정보를 인증 받을 때 발급받는 고유값이며우리는 이 토큰을 이용한 방법을 토큰 기반 인증 이라고 한다.토큰의 인증 절차는 아래 순서에 따라 진행이 된다.요청: 사용자가 서버 또는 보호되는 리소스에 대한 액세스를 요청합니다. 이때 비밀번호를 이용한
token, xss, csrf
크로스 사이트 스크립팅(Cross Site Scripting, XSS)공격자가 타인의 브라우저에 스크립트가 실행되도록 해 타인의 세션을 가로채거나, 변조하거나, 악의적 콘텐츠를 삽입하거나, 피싱 공격을 진행하는 것을 말한다.1회성 공격이다. 왜? 피해자가 직접 스크립트

비대칭키를 적용한 JWT 인증/인가
🍎 JWT에 비대칭키 적용 JWT 임시글 참고오세연~!!! > - 앞서 했던 "JWT의 동작방식"은 특정 알고리즘과 secret이란 비밀 키를 통해서 암호화하였다. 또한 특별히 복호화의 과정을 거치지않았다. 단지 signature를 검증해서 유효한 토큰인지 확인했

HTTPS 공개키와 개인키 개념
HTTPS 먼저 HTTPS가 뭔지를 간략히! 말씀드리자면 HTTP + Secure입니다! HTTP로만 정보를 보낸다면, 다른 누군가가 이 정보를 쉽게 탈취하여 있는 그대로 읽을 수 있게 됩니다. 하지만 HTTPS를 통해 정보를 보내면, 이 정보는 알 수 없는 문자열로

Session vs JWT(JSON Web Token)
🍎 인증(Authentication)과 인가(Authorization) > - 인증(Authentication): 말 그대로 인증 == 로그인이다. 전달받은 ID 및 Password와 일치하는 유저정보를 찾고, 일치한다면 인증이 되는 것!!! 인가(Authoriza

[인증/보안]기초-Token
Token 토큰기반 인증(Token-based Authentication) 토큰기반 인증은 왜, 그리고 언제 쓸까? 세션 기반 인증은 서버(혹은 DB)에 유저 정보를 담는 인증 방식이었다. 서버에서는 유저가 민감하거나 제한된 정보를 요청할 때마다 "지금 요청을 보낸 유
Github Login #04
fetch가 필요한데 fetch는 서버엔 없고 브라우저에만 존재한다.사람들은 node-fetch라는 패키지를 만들었다. https://www.npmjs.com/package/node-fetchnpm i node-fetch 설치해 보도록 한다.현재 에러로 통해

Token, XSS, CSRF
Token XSS (Cross-Site Scripting) XSS는 악의적인 사용자가 공격하려는 사이트에 스크립트를 넣는 기법으로 다른 웹사이트와 정보를 교환하는 방식으로 작동하므로 사이트 간 스크립팅이라고 한다. 주로 게시판에 악성 스크립트가 담긴 글을 올리는 형