-
HTTP 완벽 가이드 12장 기본인증Web Dev/7. 네트워크 2021. 2. 21. 14:52728x90
- 웹사이트에 있는 개인의 프로필이나 개인이 작성한 문서는 해당 소유자의 동의 없이는 권한이 없는 사용자가 볼 수 없어야한다.
- 인증이란?
- 당신이 누구인지 증명하는 것
- 완벽한 인증이란 없다
- 인증 프로토콜과 헤더
단계 헤더 설명 메서드/상태 요청 첫번째 요청에는 인증 정보가 없다 GET 인증 요구 WWW-Authenticate 서버는 사용자에게 사용자 이름과 비밀번호를 제공하라는 의미로 401상태 정보와 함께 요청을 반려한다. 서버에는 각각 다른 비밀번호가 있는 영역들이 있을 것이므로, 서버는 WWW-Authenticate 헤더에 해당 영역을 설명해 놓는다 401 Unauthorized 인증 Authorization 클라이언트는 요청을 다시 보내는데, 이번에는 인증 알고리즘과 사용자 이름과 비밀번호를 기술한 Authorization헤더를 함께 보낸다 GET 성공 Authentication-Info 인증 정보가 정확하면, 서버는 문서와 함께 응답한다. 어떤 인증 알고리즘은 선택적인 헤더인 Authentication-Info에 인증 세션에 관한 추가 정보를 기술해서 응답하기도 한다 200 OK - 기본 인증의 보안 결함
- 기본인증은 악의적이지 않은 누군가가 의도치 않게 리소스에 접근하는것에는 효과가있는데, 털리기 십상이다. SSL 같은 암호기술과 혼용한다.(아이디 패스워드를 입력받고, 그걸 콜론으로 연결해서 base-64로만 인코딩 하기때문에, 거의뭐 열린 문이다.)
'Web Dev > 7. 네트워크' 카테고리의 다른 글
HTTP 완벽 가이드 14장 보안 HTTP (0) 2021.02.28 HTTP 완벽 가이드 13장 다이제스트 인증 (0) 2021.02.21 HTTP 완벽 가이드 11장 클라이언트 식별과 쿠키 (0) 2021.02.21 HTTP 완벽 가이드 10장 HTTP/2.0 (0) 2021.02.06 HTTP 완벽 가이드 9장 웹 로봇 (0) 2021.02.06