인프런 (1) 썸네일형 리스트형 로그인 처리1 - 쿠키, 세션 : 쿠키와 보안문제 인프런의 영한님의 스프링mvc2편을 보고 정리한 글입니다. 무엇을 배웠나요? 쿠키를 사용해서 로그인 id를 클라이언트에서 서버로 전달해서 로그인을 유지할 수 있다. 그러나 여기에는 심각한 보안 문제가 있다. 쿠키 값은 임의로 변경할 수 있다. 클라이언트가 쿠키를 강제로 변경하면 다른 사용자가 된다. ex) 브라우저에서 f12를 눌러 개발자모드를 켠 후 Application에서 Cookie 변경 확인 쿠키에 보관된 정보는 훔쳐갈 수 있다. 쿠키에 있는 정보가 웹브라우저에도 보관되고, 네트워크 전송 구간에서 털릴 수도 있다. 해커가 쿠기를 한번 훔쳐가면 평생 사용할 수 있다. ➡️ 대안 쿠키에 중요한 값을 노출하지 않고, 사용자 별로 예측 불가능한 임의의 토큰(랜덤값)을 노출하고, 서버에서 토큰과 사용자 i.. 이전 1 다음