Next-BlockChain

실습전에 github 설정을 해야하는데 필요한 코드는 다음 블로그 포스팅을 참고하면 된다. https://velog.io/@d-h-k/Oauth-%EC%B0%8D%EB%A8%B9%ED%95%B4%EB%B3%B4%EA%B8%B0-with-POSTMAN%EC%8B%A4%EC%8A%B5 OAuth 찍먹해보기 (with POSTMAN실습 ) Authorizing OAuth Apps 이거 따라한건데, 막연할꺼같아 POSTMAN으로 실습까지 곁들어 봄OAuth Application 등록하기client_id client_secret 발급받기code 발급받기access_token발급먼저 깃허브에 로그인해주세요우 velog.io 다음은 Github OAuth 와 노드JS를 연동하는 코드다. 1. 위의 게시물을 보고 환경..

Computer Science/Security 2023. 1. 6. 22:07

우리가 일상에서 쓰는 소셜 로그인 인증 방식은 전부 OAuth2라는 기술을 바탕으로 구현됩니다. OAuth는 무슨 기술이냐? 라고 물으신다면 OAuth는 인증을 중개해주는 메커니즘입니다. 보안된 리소스에 엑세스하기 위해 클라이언트에게 권한을 제공해주는 프로세스를 단순화한 프로토콜입니다. 그렇다면 소셜 로그인 인증방식은 무엇일까요? 소셜 로그인 인증 방식은 Naver, Kakao, Google, Facebook, Instagram, Github에 있는 로그인정보를 가지고 로그인을 하는 방식이고 이 떄 OAuth 기술을 사용합니다. OAuth는 위에서 말한 서비스들에 이미 정보가 있는 사용자의 인증을 대신해주고, 접근 권한에 대한 토큰을 발급한 후 이를 이용해 인증이 가능해지게 하는 방식입니다. OAuth가..

Computer Science/Security 2023. 1. 5. 22:13

토큰 기반 인증은 왜 쓸까요? 세션 기반 인증은 서버 혹은 db에 유저정보를 담는 인증방식입니다. 하지만 매 요청마다 데이터베이스를 살펴보는 것이 불편하고, 이 부담을 덜어내고 싶다면 어떤 방법이 있을까요? 이럴 때 사용할 수 있는 토큰기반 인증 중 대표적인 JWT (JSON Web Token)에 대해 알아봅시다. JWT의 종류 1. Access Token : 보호된 정보들(연락처, 사진 이메일)에 접근할 수 있는 권한부여할 수 있으며 비교적 짧은 유효기간을 주어 탈취되더라도 오랫동안 사용할 수 없도록 하는 것이 좋다. 만약에 유효기간이 지나면 Refresh Token을 이용하여 새로운 AccessToken을 발급받는다. 2. Refresh Token : Access Token의 유효기간을 갱신해주는 토..

Computer Science/Security 2023. 1. 3. 22:07

배우기 전에 알아야할 것 쿠키에 대한 이해 성취 목표 세션의 개념을 이해하기 쿠키와 세션은 서로 어떤 관계고 각각이 인증에 있어서 어떤 목적으로 존재하는지 이해할 수 있다. 세션의 한계를 이해할 수 있다. 1.환경변수 설정 DB 유저이름="" DB 패스워드="" Database 이름="" 2. 데이터베이스 마이그레이션 이번 스프린트에서 시퀄라이즈(Sequelize)를 사용해 데이터베이스를 조작합니다. 시퀄라이즈는 데이터베이스와 자바스크립트 코드로 작성된 서버의 데이터를 호환시켜주는 ORM 툴입니다. 시퀄라이즈와 같은 ORM을 사용해 코드 상에서 객체 형태로 되어있는 데이터와 데이터 베이스에 저장된 데이터의 타입을 호환시킬 수 있습니다. ORM - 포스팅 정리 여기서는 시퀄라이즈를 사용해 데이터베이스 마이..

Computer Science/Security 2023. 1. 3. 15:51

세션기반 인증에 대해 알아봅시다. 로그인과 인증성공 정보 > 세션 사용자가 아이디와 비밀번호를 정확히 입력하면 서버는 인증에 성공했다는 정보를 알고있습니다. 그렇다면 인증에 성공한 정보를 서버가 알고있기때문에 어떤 행위를 할때마다 로그인할 필요는 없어집니다. 이 때 서버와 클라이언트에 각각 필요한것은 다음과 같습니다. 서버는 사용자가 인증에 성공했음을 알고 있어야합니다. 클라이언트는 인증 성공을 증명할 수단을 갖고있어야합니다. 여기서 인증성공에 관련된 현업에서 자주 쓰는 용어가 나옵니다. 사용자가 인증에 성공한 상태를 "세션"이라고 합니다. 서버는 일종의 저장소에 세션을 저장합니다. 주로 in-memory(자바스크립트 객체를 생각하면됨), 또는 세션스토어(redis 같은 트랜잭션이 빠른 DB)에 저장합니..

Computer Science/Security 2023. 1. 3. 15:03

쿠키는 서버에서 클라이언트에 데이터를 저장하는 방법 중의 하나입니다. 그래서 서버가 원한다면 서버는 클라이언트에서 쿠키를 이용해서 데이터를 가져올 수 있습니다. 그래서 쿠키를 이용하는 것은 다음과 같습니다. 서버 > 클라이언트로 쿠키전송 클라이언트 > 서버로 쿠키전송 서버는 클라이언트에 데이터를 저장할 수 있고 특정 조건이 만족할 때 데이터를 가져올 수 있습니다. 쿠키옵션은 다음과 같습니다. 1. Domain 쿠키옵션에서 도메인은 포트 및 서브 도메인 정보, 세부 경로를 포함하지 않습니다. 따라서 만약 http://www.localhost.com:3000/users/login일 경우 여기서 도메인은 "localhost.com"이 됩니다. 그래서 쿠키를 전송하려면 클라이언트에서의 쿠키의 도메인 옵션과 서버..

Computer Science/Security 2023. 1. 2. 18:09

목표 HTTPS를 학습하고 서버를 직접 구현해보기 mkcert 라는 프로그램을 이용해서 로컬환경에서 신뢰할 수 있는 인증서를 만들기 Linux 환경에서 mkcert 설치 Linux On Linux, first install certutil. sudo apt install libnss3-tools -or- sudo yum install nss-tools -or- sudo pacman -S nss -or- sudo zypper install mozilla-nss-tools Then you can install using Homebrew on Linux brew install mkcert or build from source (requires Go 1.13+) git clone https://github.co..

Computer Science/Security 2022. 12. 31. 22:22

HTTPS는 Hyper Text Transfer Protocol Secure Socket layer의 약자입니다. 또는 다음과 같습니다. HTTP OVER SSL HTTP OVER TLS - 전송 계층 보안(영어: Transport Layer Security, TLS,) HTTP OVER Secure HTTPS는 HTTP 요청을 SSL 또는 TLS 알고리즘을 이용해서 HTTP 통신을 하는 과정에서 내용을 암호화하여 데이터를 전송하는 방법이다. SSL은 무엇인가요? SSL은 보안 소켓 계층(secure sockets layer)의 약어. 인터넷을 통해 전송되는 데이터의 인증, 암호화, 복호화를 위한 웹 브라우저 및 서버용 프로토콜입니다. TLS는 무엇인가요? TLS는 전송 계층 보안(영어: Transpor..

Computer Science/Security 2022. 12. 30. 22:38