티스토리 뷰
2022 우아한스터디 "HTTP 완벽가이드"를 진행하면서
'HTTP 완벽 가이드' 책을 읽고, 글쓴이의 생각을 정리하는 글 입니다.
https://book.naver.com/bookdb/book_detail.nhn?bid=8509980
HTTP 완벽 가이드
성공적인 웹 트랜잭션 뒤의 숨은 핵심, HTTP의 모든 것『HTTP 완벽 가이드』는 HTTP 규약이 어떻게 작동하고 웹 기반 애플리케이션을 개발하는 데 어떻게 사용하는지 설명하고, HTTP가 효율적으로 동
book.naver.com
1. 사용자 인증
웹 페이지를 모두가 이용할 수도 있지만, 제한된 사용자에게만 정보를 제공해야 할 경우가 존재합니다.
아래는 HTTP인증이 필요한 경우의 트랜잭션 예시입니다.
Client -------Request------------> Server (재고 정보 요청)
Client <------Response------------ Server (재고 정보는 인증된 사람만 가능)
(사용자 인증을 요구하는 Response전달)
Client -------Request------------> Server (사용자 정보를 입력해서 전송)
Client <------Response------------ Server (사용자 정보를 검증한 뒤)
(올바른 사용자면 정보를 전달)이때 사용자 인증을 요구하는 Response 헤더에 대해서 좀더 알아보겠습니다.
1_1. 인증 프로토콜과 헤더
| 단계 | 헤더 | 설명 | 메서드/상태 |
| 요청 | X | 첫번째 사용자의 요청 | GET |
| 인증요구 | WWW-Authenticate | 사용자에게 401 상태코드로 반려하며, 사용자 정보를 입력을 요구하게됨. 이때 Server의 영역마다 인증이 필요한 정보가 다를 수 있으므로, realm정보를 포함시킵니다. | 401 Unauthorized |
| 인증 | Authorization | 사용자의 정보와 인증 알고리즘이 포함하여 정보를 보냄 | GET |
| 성공 | Authentication-Info | 인증 정보를 검토하고, 이에 맞는 Response를 생성해서 보내중 | 200 OK |
인증 과정에 대한 HTTP 메세지 예시를 보겠습니다.
Client -------Request------------> Server
+-----------------------------------------+
|HTTP Message |
|GET /family/jeff.jpg HTTP/1.0 |
+-----------------------------------------+
Client <------Response------------ Server
+------------------------------------------+
|HTTP Message |
|HTTP/1.0 401 Authorization Required |
|WWW-Authenticate : Basic realm = "Family" |
+------------------------------------------+
Client -------Request------------> Server
+-------------------------------------------+
|HTTP Message |
|GET /family/jeff.jpg HTTP/1.0 |
|Authorization : Basic userinfodatararar... |
+-------------------------------------------+
Client <------Response------------ Server이때 사용자 정보를 보내는 부분에서 문제가 발생합니다.
2. 정보 유출 / 보안 결함
사용자의 ID, PW가 있다고 가정합니다.
일반적인 Get Method를 사용할 경우 Query 형식으로 URL에 사용자 정보가 포함되게 됩니다.
그렇기 때문에 Authorization에 인증 알고리즘 과 인코딩된 ID,PW(ex. Base64(ID:PW))를 보냅니다.
하지만 이 경우는 암호화가 아니기 때문에 누구나 패킷을 획득 한다면 디코딩이 가능하기 때문에, 사실상 ID="myID"&PW="myPW" 로 보내는것과 큰 차이가 없습니다.
때문에 개인정보 보호에 굉장히 취약하며, 보안 결함을 갖게 됩니다.
이러한 문제점들을 해결하기 위해 '다이제스트 인증'을 통해서
인증정보의 보안을 유지하면서 TCP/IP를 통해서 전송하게 됩니다.
'네트워크 > HTTP' 카테고리의 다른 글
| 18. Entity & Encoding (0) | 2022.07.22 |
|---|---|
| 16. 인증2(다이제스트 인증) (0) | 2022.07.14 |
| 14. 쿠키 (0) | 2022.06.16 |
| 13. 웹로봇 (0) | 2022.06.08 |
| 12. 게이트웨이 (0) | 2022.06.05 |
- Total
- Today
- Yesterday
- heap
- prime number
- 알고리즘
- C++
- 완전탐색 알고리즘
- Search알고리즘
- 사칙연산
- git
- 프로그래머스
- 코딩테스트
- 이분탐색
- 분할정복
- hash
- SIMD
- AVX
- 병렬처리
- 동적계획법
- 컴퓨터그래픽스
- GDC
- Greedy알고리즘
- stack
- 자료구조
- Python
- Sort알고리즘
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | 3 | 4 | 5 | 6 | 7 |
| 8 | 9 | 10 | 11 | 12 | 13 | 14 |
| 15 | 16 | 17 | 18 | 19 | 20 | 21 |
| 22 | 23 | 24 | 25 | 26 | 27 | 28 |
| 29 | 30 | 31 |