12장. 기본 인증
Network Book HTTP
Chapter 12 - 기본 인증
📌 읽으면서 밑줄친 내용 그대로 옮겨 적음. *이 붙은 문장은 생각.
- 서버는 사용자가 누구인지 식별할 수 있어야 한다.
- 서버가 사용자가 누구인지 알면, 그 사용자가 어떤 작업이나 리소스에 접근할 수 있는지 결정할 수 있다.
- 인증은 당신이 누구인지 증명하는 것이다.
| 단계 | 헤더 | 설명 | 메서드/상태 |
|---|---|---|---|
| 요청 | 첫 번째 요청에는 인증 정보가 없다. | GET | |
| 인증 요구 | WWW-Authenticate | 서버는 사용자에게 사용자 이름과 비밀번호를 제공하라는 지시의 의미로 401 상태 정보와 함께 요청을 반려한다. (생략) | 401 Unauthorized |
| 인증 | Authorization | 클라이언트는 요청을 다시 보내는데, 이번에는 인증 알고리즘과 사용자 이름과 비밀번호를 기술한 Authorization 헤더를 함께 보낸다. | GET |
| 성공 | Authentication-Info | 인증 정보가 정확하면, 서버는 문서와 함께 응답한다. (생략) | 200 OK |
- 기본 인증의 보안 결함
- 기본 인증은 사용자 이름과 비밀번호를 쉽게 디코딩할 수 있는 형식으로 네트워크에 전송한다.
- 기본 인증은 이러한 재전송 공격을 예방하기 위한 어떤 일도 하지 않는다.
- 기본 인증은 가짜 서버의 위장에 취약하다.
알게된 점
- 인증의 정의, 기본 인증의 동작 단계
관련해서 같이 이야기 나누고 싶은 점
- 이 챕터 읽으면서 … 스웨거에서 어떤 인증 방식을 지원하지 않아서 스웨거를 안 쓰게 되었다는… 얘기가 생각났습니다. ㅎㅎ