728x90

🖥 HTTP authentication

🐬 HTTP 인증

인증: 사용자가 누구인지 증명하는 작업
HTTP는 자체 인증 요구/응답 기능 제공
- 1️⃣ (Client -> Server) Resource request
- 2️⃣ (Server -> Client) Authentication request
- 3️⃣ (Client -> User) Notify the user that they need authentication
- 4️⃣ (Client -> Server) Resource request with authentication info for the user
HTTP에는 기본 인증과 다이제스트 인증 두 가지의 공식적인 인증 프로토콜 존재

기본 인증은 필요에 따라 고쳐 쓸 수 있는 제어 헤더를 통해 이루어짐

Step	Header	Description	Method/Status
요청		처음 클라이언트가 요청하는 단계. 인증 정보와 헤더 없음	GET
인증 요구	WWW-Authentication	서버가 인증이 필요하다면 해당 헤더를 통해 사용자의 이름과 비밀번호를 제공하라는 지시를 하고 401 상태 정보와 함께 요청 반려	401 Unauthorized
인증	Authorization	클라이언트는 요청을 다시 보낼 때 인증 알고리즘과 사용자의 이름, 비밀번호를 기술한 Authorization 헤더를 보냄	GET
성공	Authentication-Info	서버는 받은 인증 정보가 정확하다면 리소스와 함께 응답. Authentication-Info 헤더는 선택사항으로 특정한 인증 알고리즘에 따라 인증 세션에 관한 추가 정보를 기술해 응답하기도 함	200 OK

기본 인증은 편리하고 유연하지만 안전하지 않음
- Reason: 사용자 이름과 비밀번호를 평문으로 보내는데 이 정보를 위조하지 못하게 보호하는 장치가 미흡함. Base-64 인코딩을 하지만 쉽게 디코딩 가능

기본 인증과 호환되는데 기본 인증보다 안전한 인증 방법
Improvements
1. 비밀번호를 네트워크를 통해 통신할 때 평문 전송 X
2. 인증 과정 중 Sniffing, Snooping Attacker 차단
3. 무결성 침해 방지 구현 가능

"절대로 비밀번호를 네트워크를 통해 보내지 않는다."

공격자가 중간에 요약을 가로채고 해당 요약을 서버로 전송하여 반복하면 접속할 수 있음 => 재전송 공격
해당 공격을 막기 위해 서버는 클라이언트에게 nonce 라는 토큰을 보냄
- nonce는 대략 1ms 혹은 인증할 때마다 바뀜
- nonce를 PW에 섞으면 nonce가 바뀔 때마다 요약도 바뀜
  - 저장된 비밀번호 요약이 특정 nonce 값에 대해서만 유효
1️⃣ (Client -> Server) Resource request
2️⃣ (Server) Generating nonce
3️⃣ (Server -> Client) WWW-Authenticate: including realm, nonce, algorithm
- What is realm?
  - 요청 받은 리소스 집합의 이름을 따옴표로 감싼 것
  - 보안 영역
4️⃣ (Client -> Server) Authorization: sending digest
5️⃣ (Server) Verifying digest: generating rspauth digest & next nonce
- What is rspauth?
  - response auth
6️⃣ (Server -> Client) Authentication-Info: resource & packaging rspauth digest, next nonce

728x90

[Lecture] DataBase - Day 1 (0)	2023.03.07
[Lecture] Data Communication - Day 1 (0)	2023.03.03
[Development] 좋은 글 공유 (0)	2022.08.07
[Mac] M1 맥북 개발환경 초기 세팅 (0)	2022.07.15
[CSS] CSS Selectors Reference 정리 (0)	2020.04.21