보안

참고 사이트 • https://puleugo.tistory.com/138 🎫AccessToken과 🪪RefreshToken • AccessToken: 서버 API를 직접 요청할 때 사용한다. • RefreshToken: 액세스 토큰이 만료되었을 때 액세스 토큰을 재발급할 목적으로 사용한다. 🧑🏻‍❤️‍👩🏻분리 목적 클라이언트와 서버 간의 API 통신 중, 토큰이 해커에게 유출될 수 있기 때문이다. 따라서, 직접 API를 호출하는 액세스 토큰의 주기는 짧게 설정하고 (약 1시간) 액세스 토큰을 재발급하는 리프레시 토큰의 주기는 비교적 길게 설정한다. (약 2주) 이렇게 된다면 액세스 토큰이 유출되더라도 만료 주기가 짧아 피해를 조금이나마 줄일 수 있다. 💻 개발 액세스/리프레시 토큰 방식은 중간에 탈취 당..

참고 사이트 • https://velopert.com/2389 🗼 구조 jwt는 ' . ' 을 구분자로 3가지 문자열로 구성되어 있다. 구조는 다음과 같다. 👷🏻‍♂️ Header Header는 두가지의 정보를 지니고 있다. • typ: 토큰의 타입을 지정한다. 즉, jwt • alg: 해싱 알고리즘을 지정한다. 해싱 알고리즘은 보통 HMAC SHA256 혹은 RSA가 사용되며, 이 알고리즘은 토큰을 검증할 때 사용되는 signature부분에서 사용된다. { "typ": "JWT", "alg": "HS256" } 다음을 base64로 인코딩 하면 다음과 같다. const header = { typ: 'JWT', alg: 'HS256', }; const encodedHeader = new Buffer(JS..

참고사이트 hxyxneee.log님의 벨로그 우리는 본인을 인증할 때, 중요한 정보들을 담아보낸다. 아이디, 비밀번호, 개인정보(이름, 주민등록번호, 핸드폰 번호) 등... 데이터를 보낼 때 유출이 되더라도 해당 데이터를 비밀스럽게 바꾸어 해커가 해당 데이터를 쉽게 파악하지 못하도록해야 조금이나마 더 안전할 수 있기에 암호화가 필요하다. 🔑 암호화 암호화란, 특정 지식을 소유하고 있는 사람들을 제외하고는 누구든지 읽어볼 수 없도록 정보를 전달하는 과정이다. 반대로 암호문을 평문으로 바꾸는 것을 복호화라고한다. ⚠️ 암호화의 필요성 유저의 비밀번호는 그대로 DATABASE에 저장하지 않는다. ❓ DB가 해킹 당하면 유저의 비밀번호가 그대로 노출된다. ❓ 외부 해킹이 아니더라도 내부 개발자가 DB에 접근해 ..

참고 사이트 나무를 심은사람님의 티스토리 후디님의 블로그 불타는 키보드님의 티스토리 푸르고 개발님의 티스토리 🔓 로그인 방식 이해 로그인은 크게 세션방식과 토큰 인증 방식으로 구분된다. HTTP는 stateless한 특성을 가지며, 바로 직전의 상태 또한 저장이 되지 않는다. 그렇다고 우리는 서버에 요청할 때마다 호출할 때마다 로그인창을 열고 인증하지 않는다. 유저가 로그인을 성공하여 서버에 인증된 회원인 것이 확인되면 유저에게 세션 또는 토큰을 발급한다. 그럼 유저는 세션 또는 토큰을 로컬스토리지 또는 🍪Cookie로 가지고 있다가 서버에 요청할 때마다 세션 또는 토큰을 보낸다. 🔑 Session 방식 세션 방식은 사용자의 인증 정보가 서버의 세션 저장소에 저장하고, 사용자에게 저장된 세션 정보 식별자..