22.07.15_TIL

📌 요즘 날씨가 더워졌다 추워졌다 하는 것을 보니 환절기인듯하다 이럴때 몸관리에 유의해야겠다... 하나더 요즘 몸이 너무 쉽게 피로해진다.. 확실히 체력이 떨어지는 것을 몸으로 직접 체감하고 있다. 체력을늘리자!! 초심을 찾아 더 열심히 공부해보자!!

📗 오늘 학습한 내용

OWASP(The Open Web Application Security Project)

• 전 세계의 보안 전문가들이 웹의 보안에 대한 표준을 정의하고 이에 대해 기업과 개발자들에게 효율적인 정보를 제공하는 오픈 소스 커뮤니티이다.

SQL Injection

• 간단하지만 강력한 공격기법
• DB에서 임의의 SQL문을 실행할 수 있도록 명령어를 삽입하는 공격유형
• 대응 방안
  • 입력(요청)값 검증
  • Prepared Statement 구문 사용
  • Error Message 노출 금지
• SQL(Structured Query Language)
  • 관계형 데이터베이스 시스템에서 데이터를 관리 및 처리하기 위해 설계된 선언형 프로그래밍 언어

XSS(Cross-site Scripting)

• 웹 사이트 관리자가 아닌 굥격자가 웹 사이트에 악의적인 스크립트를 심어두는 행위
• 공격유형
  • Stored XSS(지속성)
    • 스크립트가 서버에 저장되어 사용자에게 피해를 줄 수 있는 유형
  • Refleted XSS(비 지속성)
    • URL 파라미터를 이용해 스크립트를 만드는 유형
• 대응방안
  • 스크립트 태그의 입력을 막는다.
  • 쿠키 설정 확인한다(httpOnly)
  • 쿠키에 민감한 정보를 담지 않는다.

토큰

• 클라이언트에 인증정보를 보관한다.
• 위험하다고 생각할 수 있으나 토큰은 유저정보를 암호화하기 때문에 클라이언트에 담을 수 있다.

토큰 기반 인증(JWT, Token-based Authentication)

• 매 요청마다 데이터베이스를 살펴보는 것이 불편하고 이에 따른 부담을 덜어내고 싶을 때 사용한다.

JWT 종류

• 액세스토큰
  • 보호된 정보들에 접근할 수 있는 권한을 부여한다.
  • 짧은 유효기간을 주어 토큰을 탈취당하더라도 장기간 사용하는 것을 막을 수 있다.
• 리프레시 토큰
  • 액세스 토큰의 유효기간이 만료된다면 새로운 액세스 토큰을 부여받게 해준다.
  • 유저의 편의보다 정보를 중요시 하는 곳에서는 사용하지 않는다.

JWT 구조

• Header
  • 어떤 종류의 토큰인지 어떤 알고리즘을 Signature를 암호화 하는지에 대한 내용
• Payload
  • 서버에서 활용할 수 있는 유저의 정보가 담긴 내용
• Signature
  • 서버의 비밀키와 헤더에서 지정한 알고리즘을 사용하여 암호화 한다.

OAuth

• 인증을 위한 표준 프로토콜
• 소셜 로그인 인증 방식의 바탕이 되는 기술 
• 보안된 리소스에 액세스하기 위해 클라이언트에게 권한을 제공하는 프로세스를 단순화하는 프로토콜
• 이미 사용장 정보를 가지고 있는 웹 서비스에서 사용자의 인증을 대신해주고, 접근 권한에 대한 토큰을 발급한 후, 이를 이용해 내 서버에서 인증을 가능하게 한다.
• OAuth는 인증을 다른 서비스에 맡기는 기능이고, 접근 권한 관리는 내 서버의 몫이다.

OAuth를 사용하는 이유

• 다양한 웹 서비스의 ID와 Password를 기억하는 것이 매우 귀찮은 일이기 때문이다.
• 자주 사용하는 서비스들 (github, google, kakao, facebook 등)의 ID와 Password만 기억해두면 해당 서비스을 통해 외부 서비스로 소셜 로그인을 할 수 있게된다.
• 검증되지 않은 App에서 OAuth를 사용하여 로그인한다면 직접 유저의 민감한 정보가 App에 노출될 일이 없고 인증 권한에 대한 허가를 미리 유저에게 구해야 하기 때문에 보안적인 측면에서도 좋다.

OAuth에서 반드시 알아야 할 용어

• Resource Owner
  • 액세스 중인 리소스의 유저
• Client
  • 리소스 오너를 대신하여 보호된 리소스에 액세스하는 애플리케이션
• Resource Server
  • 클라이언트의 요청을 수락하고 응답할 수 있는 서버
• Authorization Server
  • Resource Server가 액세스 토큰을 발급받는 인증서버
  • 리소스 오너를 성공적으로 인증한 후 클라이언트에게 액세스 토큰을 발급하는 서버
• Authorization Grant
  • 클라이언트가 액세스 토큰을 얻는 방법
    • Authorization Code Grant Type
    • Refresh Token Grant Type
    • Client Credentials Grant Type
    • Implicit Grant Type
    • Resource Owner Credentials Grant Type
• Authorization Code
  • Authorization Grant의 한 타입으로 액세스 토큰을 발급받기 위한 Code
  • Client ID로 이 Code를 받아온 후, Client Secret과 Code를 이용해 액세스 토큰을 받아올 수 있다.
• Access Token
  • 보호된 리소스에 액세스하는 데 사용되는 인증 토큰
  • Authorization Code와 Client Secret을 이용해 받아온 이 Access Token으로 리소스 서버에 접근 할 수 있음
• Scope
  • 토큰의 권한을 정의
  • 주어진 액세스 토큰을 사용하여 애겟스 할 수 있는 리소스의 범위

📘 추가로 공부할 내용

[udemy] React 완벽 가이드 강의 보기 (매일 조금씩 이라도 꾸준히 듣기)

axios 사용방법

Python 알고리즘 문제 풀이

📝 중요한 내용

• 토큰