모든 개발자를 위한 HTTP 웹 기본 지식

Ch07. HTTP 헤더(일반 헤더) - 인증 & 쿠키

webmaster 2022. 2. 27. 13:06
728x90

인증

  • Authorization: 클라이언트 인증 정보를 서버에 전달
  • WWW-Authenticate: 리소스 접근 시 필요한 인증 방법 정의
  • Authorization: Basic xxxxxxxxxxxxxxxx

WWW-Authenticate 리소스 접근 시 필요한 인증 방법 정의

  • 리소스 접근시 필요한 인증 방법 정의
  • 401 Unauthorized 응답과 함께 사용 
  • WWW-Authenticate: Newauth realm="apps", type=1, title="Login to \"apps\"", Basic realm="simple"

쿠키

  • Set-Cookie: 서버에서 클라이언트로 쿠키 전달(응답)
  • Cookie: 클라이언트가 서버에서 받은 쿠키를 저장하고, HTTP 요청 시 서버로 전달
  • 쿠키 미사용
    • 로그인 된 사용자를 구분할 수가 없다.
    • 내가 원하는 건 로그인 된 명을 반환하기 원했지만 로그인된 상태값을 서버는 알수 없기에 로그인하지 않은 요청과 구분할 수 없다.
    • WHY?
      • HTTP는 무상태(Stateless) 프로토콜이다.
      • 클라이언트와 서버가 요청과 응답을 주고 받으면 연결이 끊어진다. 
      • 클라이언트가 다시 요청하면 서버는 이전 요청을 기억하지 못한다. 
      • 클라이언트와 서버는 서로 상태를 유지하지 않는다.
    • 해결 방안 1: 모든 요청에 사용자 정보 포함
      • 모든 요청의 로그인정보 포함
      • 모든 요청에 사용자 정보가 포함되도록 개발해야 함 
      • 브라우저를 완전히 종료하고 다시 열면?
      • 두 가지 문제가 있어서 해결되지 않는다.
    • 해결 방안 2 : 쿠키

쿠키 저장소에 쿠키를 저장한다.
쿠키 저장소에 쿠키가 있다면 client는 Cookie에 쿠키 정보를 넣어서 서버로 전송한다.

  • 모든 요청에 쿠기 정보가 자동 포함된다.
  • 예) set-cookie: sessionId=abcde1234; expires=Sat, 26-Dec-2020 00:00:00 GMT; path=/; domain=. google.com; Secure 
  • 사용처
    • 사용자 로그인 세션 관리 
    • 광고 정보 트래킹
  • 쿠키 정보는 항상 서버에 전송됨
    • 네트워크 트래픽 추가 유발 
    • 최소한의 정보만 사용(세션 id, 인증 토큰)
    • 서버에 전송하지 않고, 웹 브라우저 내부에 데이터를 저장하고 싶으면 웹 스토리지 (localStorage, sessionStorage) 참고 
  • 주의! 
    • 보안에 민감한 데이터는 저장하면 안됨(주민번호, 신용카드 번호 등등)

쿠키 - 생명주기

  • Set-Cookie: expires=Sat, 26-Dec-2020 04:39:21 GMT 
    • 만료일이 되면 쿠키 삭제 
  • Set-Cookie: max-age=3600 (3600초)
    • 0이나 음수를 지정하면 쿠키 삭제
  • 세션 쿠키: 만료 날짜를 생략하면 브라우저 종료시 까지만 유지
  • 영속 쿠키: 만료 날짜를 입력하면 해당 날짜까지 유지

쿠키 - 도메인

  • 예) domain=example.org 
  • 명시: 명시한 문서 기준 도메인 + 서브 도메인 포함
    • domain=example.org를 지정해서 쿠키 생성
      • example.org는 물론이고 
      • dev.example.org도 쿠키 접근 
  • 생략: 현재 문서 기준 도메인만 적용 
    • example.org 에서 쿠키를 생성하고 domain 지정을 생략
      • example.org에서만 쿠키 접근
      • dev.example.org는 쿠키 미접근

쿠키 - 경로

  • 예) path=/home 
  • 이 경로를 포함한 하위 경로 페이지만 쿠키 접근 
  • 일반적으로 path=/ 루트로 지정 
  • Example) 
    • path=/home 지정
    • /home -> 가능 
    • /home/level1 -> 가능
    • /home/level1/level2 -> 가능 
    • /hello -> 불가능

쿠키 - 보안

  • Secure 
    • 쿠키는 http, https를 구분하지 않고 전송
    • Secure를 적용하면 https인 경우에만 전송 
  • HttpOnly 
    • XSS 공격 방지 
    • 자바스크립트에서 접근 불가(document.cookie) 
    • HTTP 전송에만 사용 
  • SameSite
    • XSRF 공격 방지
    • 요청 도메인과 쿠키에 설정된 도메인이 같은 경우만 쿠키 전송
728x90

'모든 개발자를 위한 HTTP 웹 기본 지식' 카테고리의 다른 글

Ch08. HTTP 헤더(캐시와 조건부 요청) - 검증 헤더와 조건부 요청  (0) 2022.02.28
Ch08. HTTP 헤더(캐시와 조건부 요청) - 캐시 기본 동작  (0) 2022.02.28
Ch07. HTTP 헤더(일반 헤더) - 특별한 정보  (0) 2022.02.27
Ch07. HTTP 헤더(일반 헤더) - 일반정보  (0) 2022.02.27
Ch07. HTTP 헤더(일반 헤더) - 전송 방식  (0) 2022.02.27

'모든 개발자를 위한 HTTP 웹 기본 지식'의 다른글

  • 현재글Ch07. HTTP 헤더(일반 헤더) - 인증 & 쿠키

관련글

댓글

티스토리툴바