김보민 5주차 과제 제출

[bomin0214]

Description

• 로그인 구현 설명
• session과 쿠키의 차이점
• 보안에 대한 중요성

Important content

• 로그인한 사용자를 서버가 지속적으로 인식하기 위해 쿠키와 세션이 어떻게 사용되는지 설명하세요. (서버 딴에서 api 호출할 때마다 어떤 일이 일어나는지.) -> 이 부분에 대해 제대로 쓴 것이 맞는지 확인 부탁드립니다.
• 잘못 생각하고 있는 부분이 있는지 확인 부탁드립니다.

Reference

• 인호 코어님의 5주차 강의자료
• https://cs-vegemeal.tistory.com/77
• https://f-lab.kr/insight/understanding-cookie-session-authentication
• https://f-lab.kr/insight/session-based-login-security-20240519
• https://dev-wnstjd.tistory.com/440 [Bean 사용 간단한 설명]

[inhooo00]

전체적인 흐름은 맞습니다! 다만 추가적으로 고민해볼 내용이 있어서 질문 남깁니다. 고생하셨습니다~

1. 세션이 만료되었을 때 사용자는 어떤 방식으로 다시 로그인하게 되나요? 예를 들어, 자동으로 로그인 페이지로 리다이렉트되나요?
2. 세션 ID가 탈취되었을 때 보안을 유지하기 위해 어떤 추가적인 보안 조치를 추천하시나요? 보민님의 마지막 답변을 바탕으로 어떤 방법이 가장 적절할지 생각해 보세요!
3. API 요청마다 세션 ID를 매번 확인하는 과정에서 서버 부하를 줄일 방법이 있을까요?

[bomin0214]

1. 세션이 만료되었을 때 새로고침이나 다른 작업을 실행할 시 자동으로 로그인 페이지로 리다이렉트 됩니다.
2. HTTPS 적용입니다. HTTPS는 클라이언트와 서버간의 통신을 암호화하여 중간자 공격을 방지합니다. ID가 탈취되기 전, 세션 ID가 암호화 되기에 HTTPS적절하다고 생각합니다.
3. 세션 ID 대신 토큰 발급해주는 것입니다. 토큰을 받아간 사용자가 토큰을 쿠키로 저장해 두고 필요할 때마다 제시하면 서버는 따로 확인할 필요 없기 때문에 서버 부하를 줄일 수 있습니다.

참고 자료: https://hongong.hanbit.co.kr/%EC%99%84%EB%B2%BD-%EC%A0%95%EB%A6%AC-%EC%BF%A0%ED%82%A4-%EC%84%B8%EC%85%98-%ED%86%A0%ED%81%B0-%EC%BA%90%EC%8B%9C-%EA%B7%B8%EB%A6%AC%EA%B3%A0-cdn/