look-forest

용어 resource owner : 사용자 resource server: 구글, 페이스북 client: 나의 서비스 목적 구글 등을 통해 사용자의 신원 확인 및 API 사용 사용자는 간편하고 서비스 제공자는 부담을 던다. 작동 방식 - access token을 획득하여 접근, 인증 사용자에 의해 구글, 페이스북에서 access token 발급 oauth를 통해 구글은 사용자를 거쳐 서비스 제공자(client)에게 access token 전달(authorized redirection URI) 서비스 제공자는 access token을 이용해 사용자 대신 구글에 접속 가능 사용자 정보를 요청하고 응답 받음으로써 신원 확인 참고 : 생활코딩

1. 로그인 시 아이디, 비밀번호가 맞다면 토큰을 생성해 서버측 DB와 브라우저측 쿠키에 넣는다. 2. 인증 : 토큰을 이용한 로그인 유지 및 권한 확인 - 쿠키의 토큰을 복호화해 user id를 찾음 - user id로 DB를 조회해 DB의 토큰과 쿠키의 토큰이 일치하면 인증 성공 3. 로그아웃 DB의 토큰을 지움 → 쿠키의 토큰과 DB의 토큰이 일치하지 않아 인증 X →로그인풀림 # 정리 생성: user id → 토큰 → 쿠키, DB에 저장 인증: 쿠키 토큰 → user id → DB 토큰 → 쿠키, DB 토큰 일치 로그아웃: DB 토큰 삭제 → 쿠키, DB 토큰 불일치

intro 중요 정보를 쿠키로 브라우저에 저장하면 보안상 위험하다 Session이란? 세션 데이터는 쿠키 자체에 저장되지 않고 세션 ID 만 저장됨. 세션 데이터는 서버 측에 저장! - 브라우저는 쿠키를 이용해 사용자를 식별하는 식별자만 저장(세션 ID = 사용자를 식별하는 쿠키 값) - 실제 데이터는 서버쪽에 안전하게 파일이나 db로 저장 session 도입하기 session 동작 방식 1. 처음엔 request header에 sessionIdsessionId 없음 -> response header로 전달받음 2. 브라우저에 쿠키값으로 저장 3. 이후 request header로 sessionId 전달 4. session을 프로그래밍적으로 활용하기 request.session 객체의 데이터 활용 (re..

Intro 개인화 이슈에서 기인 쿠키가 도입되면서 웹 브라우저는 이전에 접속했던 사용자의 정보를 웹 서버에 전송할 수 있게 되었다. 쿠키는 왜 필요한가? 쿠키 미사용 시 로그인했는데 서버가 기억하지 못한다.. HTTP가 stateless한 프로토콜이기 때문이다! 클라이언트와 서버가 요청과 응답을 주고 받으면 연결이 끊어진다 (connectionless) 클라이언트와 서버는 서로 상태를 유지하지 않는다 (stateless) 그렇다고 요청에 사용자 정보를 매번 포함하는 것은 보안상 위험하고 개발자가 매번 처리하기 번거롭다.. 쿠키 도입 1. 서버는 쿠키를 만들고 브라우저에게 보낸다. 2. 브라우저 내부에는 쿠키 저장소가 있다 3. 이후 요청을 보낼 때마다 브라우저는 쿠키 저장소를 뒤져 해당 쿠키를 서버에 보..