HTTP 완벽가이드 12장 기본 인증

어겐어갠·2022년 5월 26일
0

12장 기본 인증

허가된 사람만이 데이터에 접근할 수 있도록 서버는 사용자를 식별할 수 있어야한다.

12.1 인증

누구인지 증명하는 것
완벽한 인증은 없다. 하지만 여러 데이터는 인증에 도움을 준다.

12.1.1 HTTP의 인증요구 / 응답 프레임워크

요청 -> 인증요구 -> 인가 -> 성공의 과정을 거친다.

12.1.2 인증 프로토콜 헤더

http는 제어 헤더를 통해, 다른 인증 프로토콜에 맞출 수 있는 프레임 워크를 제공한다.

12.1.3 보안 영역

웹 서버는 기밀문서를 보안 영역 그룹으로 나눈다.
보안 영역은 각자 다른 사용자 권한을 요구한다.

12.2 기본 인증

가장 잘 알려진 http 인증 규약이다.
거의 모든 클라이언트와 서버에 기본 인증이 구현되어 있다.

12.2.2 Base-64 사용자 이름/비밀번호 인코딩

http 기본 인증은 사용자 이름과 비밀번호를 : 로 이어 붙여 base-64 인코딩을 한다.
base-64 인코딩은 8비트 바이트로 이루어진 시퀀스를 6비트 덩어리의 시퀀스로 변환한다.

12.2.3 프락시 인증

중개 프락시 서버를 통해 인증할 수 있다.

12.3 기본 인증의 보안 결함

  • Base-64는 쉽게 디코딩 할 수 있다.
  • 단순히 인코딩된 정보를 가로채 복사하여 원 서버에 보내 인증에 성공할 수 있다.
  • 대부분의 사용자는 여러 사이트에 공통된 아이디와 비밀번호를 사용한다.
  • 프락시나 중개자가 중간에 개입해 트랜잭션의 의도를 바꿔버릴 수 있다.
  • 기본 인증은 가짜 서버의 위장에 취약하다.
profile
음그래

0개의 댓글