Network - HTTP Header 인증

iseon_u·2022년 6월 25일
0

Network

목록 보기
27/31
post-thumbnail

HTTP Header 인증


  • Authorization: 클라이언트 인증 정보를 서버에 전달
  • WWW-Authenticate: 리소스 접근시 필요한 인증 방법 정의

Authorization

클라이언트 인증 정보를 서버에 전달

  • Authorization: Basic xxxxxxxxxxxxxxx

WWW-Authenticate

리소스 접근시 필요한 인증 방법 정의

  • 리소스 접근시 필요한 인증 방법 정의
  • 401 Unauthorized 응답과 함께 사용
  • WWW-Authenticate: Newauth realm=”apps”, type=1,title=”Login to \”apps\””,Basic realm=”simple”

Cookie 쿠키


  • Set-Cookie: 서버에서 클라이언트로 쿠키 전달 (응답)
  • Cookie: 클라이언트가 서버에서 받은 쿠키를 저장하고, HTTP 요청시 서버로 전달

쿠키 미사용

로그인 이후 welcome 페이지 접근

  • 기대하는 서버 응답
    • 안녕하세요. 홍길동님
  • 실제 서버 응답 결과
    • 안녕하세요. 손님

Stateless

  • HTTP 는 무상태 (Stateless) 프로토콜이다.
  • 클라이언트와 서버가 요청과 응답을 주고 받으면 연결이 끊어진다.
  • 클라이언트가 다시 요청하면 서버는 이전 요청을 기억하지 못한다.
  • 클라이언트와 서버는 서로 상태를 유지하지 않는다.

쿠키 미사용

해결 방법 - 모든 요청에 사용자 정보 포함

쿠키 미사용

해결 방법의 문제점

  • 모든 요청과 링크에 사용자 정보를 포함해야한다.
  • 모든 요청에 사용자 정보가 포함되도록 개발해야한다.
  • 브라우저를 완전히 종료하고 다시 열 때 문제 발생

쿠키

로그인 이후 welcome 페이지 접근

  • 웹 브라우저는 자동으로 서버에 요청을 보낼 때마다 쿠키를 찾는다.
  • 쿠키 헤더를 만들어서 서버로 전송

쿠키

모든 요청에 쿠키 정보 자동 포함

쿠키

💬 set-cookie: sessionId=abcde1234; expires=Sat, 26-Dec-2020 00:00:00 GMT; path=/; domain=.google.com; Secure

  • 사용처
    • 사용자 로그인 세션 관리
    • 광고 정보 트래킹
  • 쿠키 정보는 항상 서버에 전송됨
    • 네트워크 트래픽 추가 유발
    • 최소한의 정보만 사용 (세션 id, 인증 토큰)
    • 서버에 전송하지 않고, 웹 브라우저 내부에 데이터를 저장하고 싶으면 웹 스토리지 (localStorage, sessionStorage) 참고
  • 주의!
    • 보안에 민감한 데이터는 저장하면 안된다.(주민번호, 신용카드 번호 등등)

쿠키 생명주기

Expires, max-age

  • Set-Cookie: expires=Sat, 26=Dec-2020 04:39:21 GMT
    • 만료일이 되면 쿠키 삭제
  • Set-Cookie: max-age=3600 (3600초)
    • 0이나 음수를 지정하면 쿠키 삭제
  • 세션 쿠키: 만료 날짜를 생략하면 브라우저 종료시 까지만 유지
  • 영속 쿠키: 만료 날짜를 입력하면 해당 날짜까지 유지

쿠키 도메인

Domain

  • domain=example.org

명시: 명시한 문서 기준 도메인 + 서브 도메인 포함

  • domain=example.org 를 지정해서 쿠키 생성
    • example.org 는 물론이고 dev.example.org 도 쿠키 접근

생략: 현재 문서 기준 도메인만 적용

  • example.org 에서 쿠키를 생성하고 domain 지정을 생략
    • example.org 에서만 쿠키 접근
    • dev.example.org 는 쿠키 미접근

쿠키 경로

Path

  • path=/home
  • 이 경로를 포함한 하위 경로 페이지만 쿠키 접근
  • 일반적으로 path=/ 루트로 지정
    • path=/home 지정
    • /home → 가능
    • /home/level1 → 가능
    • /home/level1/level2 → 가능
    • /hello → 불가능

쿠키 보안

Secure, HttpOnly, SameSite

  • Secure
    • 쿠키는 http, https 를 구분하지 않고 전송
    • Secure 를 적용하면 https 인 경우에만 전송
  • HttpOnly
    • XSS cross-site scripting 공격 방지 (해커가 사용자의 쿠키, 세션 등을 탈취)
      • 사용자가 특정 웹사이트를 신용하는 점을 노린 것
    • 자바스크립트에서 접근 불가 (document.cookie)
    • HTTP 전송에만 사용
  • SameSite
    • XSRF 공격 방지
      • 공격자가 의도한 행위(수정, 삭제, 등록 등)를 특정 웹사이트에 요청
      • 사용자가 특정 웹사이트를 신용하는 점을 노린 것
    • 요청 도메인과 쿠키에 설정된 도메인이 같은 경우에만 쿠키 전송
profile
🧑🏻‍💻 Hello World!

0개의 댓글