HTTP Basic Authentication

특정 resource에 대한 접근을 요청할때 브라우저가 사용자에게 username과 password를 확인해 인가를 제한하는 방법

Process

• 접근이 제한된 GET /home을 Client가 요청
• Server는 401 에러와 함께 username, password 요청
• 브라우저는 사용자에게 username, password를 입력 받아 다시 동일한 GET /home을 요청
  => 이 때, 요청 Header에는 입력 받은 username, password를 BASE64로 인코딩한 값을 포함
• 일치할 경우 resource 응답

특징

• 어떠한 쿠키, 세션, 로그인 페이지 불필요
• 전송되는 credentials 값들은 암호화되지 않음
  => 보안에 굉장히 취약
• 반드시 HTTPS와 같이 사용
• 웹 서버가 로그아웃할 수 있는 메서드 제공 X
• App이 수행하는 것이 아닌 브라우저가 수행

CSRF(Cross Site Request Forgery) - 사이트간 요청 위조

사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위(데이터 수정, 삭제, 등록 등) 을 특정 웹사이트에 요청하게 하는 공격

참조

https://minholee93.tistory.com/entry/Spring-Security-HTTP-Basic-Authentication