인증, 인가

세션관리

• 쿠키

사용자의 브라우저에 저장되는 작은 데이터 조각으로, 세션 ID와 같은 사용자를 식별하는 정보를 담고 있다

사용자가 웹사이트에 로그인하면 그 사이트는 쿠키에 사용자의 로그인 정보를 저장하여 다음 방문 시 자동으로 로그인핟록 할 수 있음

• 세션

세션은 서버 측에서 사용자 정보를 저장하는 방법

세션 ID가 사용자의 브라우저에 저장되고 이 ID는 서버에서 사용자의 세션 데이터를 조회하는데 사용

사용자의 정보가 서버에 저장되고 클라이언트에는 세션 ID만 저장되어 쿠키보다 보안적으로 우수

 

쿠키 탈취 문제 -> 세션 하이재킹(MITM)

 : 사용자 세션을 탈취하는 공격 방법으로 탈취한 세션 ID 사용자인것처럼 사용

 

MFA(Multi-Factor Authentication) Bypass

 : 휴대폰 인증, 지문, OTP 인증 등의 다중 요소 인증을 우회하여 시스템에 접근하는 것

 

• Password Reset : 사용자 비밀번호를 재설정하는 프로세스를 악용하여 타 사용자의 계정을 탈취하는 것 

 

인가(Authorization)

 : 해당 사용자가 어떤 리소스나 서비스에 접근할 수 있는 권한을 가지고 있는지 확인하는 과정.시스템 내에서 사용자가 수행할 수 있는 작업의 범위를 정의

• RBAC

 : 사용자에게 역할을 부여하고 이 역할에 따라 리소스에 대한 접근 권한을 결정

 

인가에 사용되는 기술(SSO)

• JWT[헤더/페이로드/서명]

 - JSON Web Tokens는 JSON 기반의 표준

 - 이 토큰은 두 개체 사이에서 정보를 안전하게 전송하는데 사용될 수 있음

 - JWT는 사용자의 인증 상태와 권한을 나타내는데 사용되는 정보를 포함할 수 있음

• OAuth(Open Authorization)

 - 사용자가 서비스를 제3의 애플리케이션에 위임할 수 있게 하는 표준

 - 사용자가 구글 계정으로 다른 웹 사이트에 로그인하면 인증하고 인가함