일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | |||
5 | 6 | 7 | 8 | 9 | 10 | 11 |
12 | 13 | 14 | 15 | 16 | 17 | 18 |
19 | 20 | 21 | 22 | 23 | 24 | 25 |
26 | 27 | 28 | 29 | 30 | 31 |
- 소프트웨어
- 인공지능
- Yes
- 컴퓨터비전
- 프로그래밍언어
- 머신러닝
- 버전관리
- 2
- 데이터과학
- 네트워크보안
- 사이버보안
- 네트워크
- 알고리즘
- 소프트웨어공학
- 딥러닝
- 웹개발
- 파이썬
- 데이터구조
- 보안
- 프로그래밍
- 클라우드컴퓨팅
- 자바스크립트
- 데이터베이스
- 컴퓨터공학
- 코딩
- 데이터분석
- 빅데이터
- I'm Sorry
- 컴퓨터과학
- 자료구조
- Today
- Total
목록웹보안 (7)
스택큐힙리스트
인증과 같은 상황에서 JWT를 사용하는 것의 장점은 무엇인가요? JWT는 독립적인 접근 방식으로 사용되는지 아니면 세션 안에서 사용되는지요?답변 1JWT 토큰을 사용하는 또 다른 이점은 대부분의 언어에서 사용할 수 있는 라이브러리를 사용하여 비교적 쉽게 구현할 수 있다는 것입니다. 또한 초기 사용자 인증 체계와 완전히 분리되어 있으므로 지문 기반 시스템으로 전환해도 세션 관리 체계를 변경할 필요가 없습니다. 더 미묘한 이점은 JWT가 정보를 운반할 수 있고 클라이언트에서 액세스할 수 있다는 것입니다. 이로 인해 몇 일 전에 세션이 만료될 것임을 사용자에게 알려줄 수 있으며 토큰에서 만료 날짜를 기반으로 다시 인증할 수 있는 옵션을 제공할 수 있습니다. 상상할 수 있는 모든 것을 할 수 있습니다. 요약하면..
이 필터들이 어떻게 사용되는지 헷갈립니다. 스프링에서 제공하는 form-login을 위해 UsernamePasswordAuthenticationFilter는 오직 /login에만 사용되는 것인가요? 그리고 나머지 필터들은 사용되지 않는건가요? form-login 네임스페이스 요소는 이러한 필터들을 자동으로 구성해줍니까? 비로그인 URL의 경우, 모든 요청(인증된 것과 아닌 것 모두)이 FilterSecurityInterceptor에 도달하게 되나요? 만약 로그인에서 검색한 JWT-token으로 REST API를 보호하려면 어떻게 해야 하나요? 두 개의 네임스페이스 구성 http 태그를 구성해야 하나요? 하나는 /login을 위한 UsernamePasswordAuthenticationFilter로, 다른 ..
나는 쿠키 기반 인증을 알고 있다. SSL과 HttpOnly 플래그를 적용하여 쿠키 기반 인증을 MITM과 XSS로부터 보호할 수 있다. 그러나 CSRF로부터 보호하기 위해서는 추가적인 특별한 조치가 필요하다. 그것들은 좀 복잡하다. (참고) 최근에, 나는 JSON Web Token (JWT)이 인증에 대한 해결책으로 꽤 핫하다는 것을 발견했다. JWT의 인코딩, 디코딩 및 검증에 대한 내용을 알고 있다. 그러나 어떤 웹사이트/튜토리얼에서는 JWT를 사용한다면 CSRF 보호가 필요하지 않다고 얘기하는 이유를 이해하지 못한다. 나는 많이 읽어보고 아래의 문제를 요약하려고 노력했다. JWT에 대한 큰 그림을 제공하고, 나의 JWT에 대한 오해를 명확히 해주길 원한다. JWT가 쿠키에 저장되어 있다면, 서버는..
어떻게 passport-local을 결합하여 JWT 토큰을 인증에 성공한 경우 반환할 수 있을까요? 저는 node-jwt-simple을 사용하려고 하는데, passport.js를 보면 어떻게 해야 할지 잘 모르겠습니다. var passport = require('passport') , LocalStrategy = require('passport-local').Strategy; passport.use(new LocalStrategy( function(username, password, done) { User.findOne({ username: username }, function(err, user) { if (err) { return done(err); } if (!user) { return done(nu..