인증 & 쿠키

• Authorization: 클라이언트 인증 정보를 서버에 전달
• WWW-Authenticate: 리소스 접근시 필요한 인증 방법 정의

 

 

 

Authorization

클라이언트 인증 정보를 서버에 전달

• Authorization: Basic xxxxxxxxxxxxxxxxxxxxx

 

 

WWW-Authenticate

리소스 접근시 필요한 인증 방법 정의

• 리소스 접근시 필요한 인증 방법 정의
• 401 Unauthorizaed 응답과 함께 사용

 

 

WWW-Authenticate: Newauth realm="apps", type=1,

                                     title="Login to\"apps"\"",Basic realm="simple"

 

 

 

 

 

쿠키

매커니즘을 잘 이해하자.

• Set-Cookie: 서버에서 클라이언트로 쿠키 전달(응답)

 

• Cookie: 클라이언트가 서버에서 받은 쿠키를 저장하고, HTTP 요청시 서버로 전달

 

쿠키를 미사용할 때 user를 명시 안해주면 서버에서는 누가 로그인을 했는지 모른다.

즉! Stateless를 기억하자!

• HTTP는 무상태 Stateless 프로토콜이기 때문이다.

 

• 클라이언트와 서버가 요청과 응답을 주고 받으면 연결이 끊어진다.

 

• 클라이언트가 다시 요청하면 서버는 이전 요청을 기억하지 못한다.

 

• 클라이언트와 서버는 서로 상태를 유지하지 않는다.

 

심각한 보안문제와 여러 에러사항이 발생한다. 쿠키라는 개념을 이제 알아보자.

 

 

 

 

서버에서 데이터를 가지고 쿠키 헤더를 하나 만들어준다.

그러면 웹 브라우저에는 쿠키 저장소가 있고 그 안에다가 user=홍길동이라고 저장을 해둔다.

 

그리고 로그인 이후에 쿠키값을 찾고 서버에 보내게 되고

서버는 쿠키를 열어보니까 user=홍길동인걸 알고 홍길동에게 Response 해준다.

 

• 예) set-cookie: sessionId=abcde1234; expires=Sat, 26-Dec-2020 00:00:00 GMT; path=/; domain=.google.com; Secure

   

   

   

• 사용처

 

• 사용자 로그인 세션 관리

 

• 광고 정보 트래킹

 

 

 

 

• 쿠키 정보는 항상 서버에 전송됨

 

• 네트워크 트래픽 추가 유발

 

• 최소한의 정보만 사용(세션 id, 인증 토큰)

 

• 서버에 전송하지 않고, 웹 브라우저 내부에 데이터를 저장하고 싶으면 웹 스토리지(localStorage, sessionStorage) 참고

 

• 보안에 민감한 데이터는 저장하면 안된다.(주민번호, 신용카드 번호 등등)

 

쿠키 - 생명주기

Expires, max - age

 

• Set - Cookie: expires = Sat, 26-Dec-2020 04:39:21 GMT
• 만료일이 되면 쿠키 삭제

 

• Set-Cookie: max-age=3600(3600초)
• 0이나 음수를 지정하면 쿠키 삭제

 

• 세션 쿠키: 만료 날짜를 생략하면 브라우저 종료시 까지만 유지
• 영속 쿠키: 만료 날짜 입력하면 해당 날짜까지 유지

 

 

 

 

쿠키 - 도메인

Domain

 

• 예) domain=example.org

 

• 명시: 명시한 문서 기준 도메인 + 서브 도메인 포함

 

• domain = example.org를 지정해서 쿠키 생성

 

• example.org는 물론이고

 

• dev.example.org도 쿠키 접근

 

 

생략: 현재 문서 기준 도메인만 적용

 

• example.org 에서 쿠키를 생성하고 domain 지정을 생략

 

• example.org 에서만 쿠키 접근

 

• dev.example.org는 쿠키 미접근

 

 

 

 

 

 

 

 

쿠키 - 경로

 

Path

• 예) path=/home

 

• 이 경로를 포함한 하위 경로 페이지만 쿠키 접근

 

• 일반적으로 path=/루트로 지정

 

• 예) 
• path=/home 지정

 

• /home -> 가능

 

• /home/level1 -> 가능

 

• /home/level1/level2 -> 가능

 

• /hello -> 불가능

 

 

 

 

 

 

쿠키 - 보안

Secure, HttpOnly, SameSite

 

 

 

Secure

 

• 쿠키는 http, https를 구분하지 않고 전송

 

• Secure를 적용하면 https인 경우에만 전송

 

 

 

HttpOnly

 

• XSS 공격 방지

 

• 자바스크립트에서 접근 불가(document.cookie)

 

• HTTP 전송에만 사용

 

 

SameSite

• XSRF 공격 방지
• 요청 도메인과 쿠키에 설정된 도메인이 같은 경우만 쿠키 전송

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

<출처 김영한: 모든 개발자를 위한 HTTP 웹 기본 지식 >

https://www.inflearn.com/course/http-%EC%9B%B9-%EB%84%A4%ED%8A%B8%EC%9B%8C%ED%81%AC/dashboard

모든 개발자를 위한 HTTP 웹 기본 지식 - 인프런 | 강의