기타 일반 텍스트 네트워크 프로토콜 도구를 사용하여 웹 서버를 수동으로 테스트합니다. 이는 번거로운 프로세스이지만 네트워크를 통해 전송되는 내용은 진단 목적으로 사람이 읽을 수 있습니다.
단점 기본 인증은 구현하기가 매우 쉽지만 이 솔루션은 클라이언트와 서버 호스트 간의 연결이 안전하고 신뢰할 수 있다는 가정을 기반으로 합니다. 특히 SSL/TLS와 같은 전송 계층 보안 프로토콜을 사용하지 않으면 일반 텍스트로 전송되는 키와 비밀번호를 쉽게 가로챌 수 있습니다. 또한 이 솔루션은 서버에서 반환된 정보에 대한 보호 기능을 제공하지 않습니다. 기존 브라우저는 탭이나 브라우저를 닫거나 사용자가 기록을 지울 때까지 인증 정보를 유지합니다. HTTP는 서버가 클라이언트에게 캐시된 키를 삭제하도록 지시하는 방법을 제공하지 않습니다. 이는 서버가 브라우저를 닫지 않고는 사용자를 로그아웃시킬 수 있는 효과적인 방법이 없음을 의미합니다.
장점과 단점
세션 쿠키의 단점
(1) 쿠키는 브라우저 측 메커니즘으로 사용하도록 제한됩니다. .앱 측에서 쿠키를 사용할 수 없는 경우.
(2) 전역 일관성을 충족하려면 지속성을 위해 세션을 Redis에 저장하는 것이 좋습니다. 분산 환경에서는 이를 각 서버에 백업해야 할 수 있는데, 이는 많은 시간을 차지합니다. 시간의.
(3) HTTPS가 아닌 프로토콜에서 쿠키를 사용하면 CSRF 교차 사이트 요청 위조 공격에 취약합니다.
토큰은 브라우저가 처음으로 서버에 액세스할 때 토큰을 발행합니다. 이후 브라우저는 서버에 액세스하기 위해 이 토큰을 가져올 때마다 토큰이 있는지 확인합니다. 유효합니다. 서버가 토큰을 해독할 수 있는 한 요청은 합법적입니다. 일반적으로 토큰은 해시 알고리즘으로 암호화된 사용자 정보, 타임스탬프, 서명으로 구성됩니다.
장점:
(1) 토큰 인증은 쿠키에만 국한되지 않으므로 이 인증 방법은 브라우저뿐만 아니라 다양한 클라이언트를 지원할 수 있습니다. 동일 출처 정책의 영향을 받지 않습니다.
(2) 쿠키를 사용하지 않고도 CSRF 공격을 피할 수 있습니다.
(3) 토큰을 저장할 필요가 없습니다. 토큰에는 이미 사용자 정보가 포함되어 있습니다. 서버 측은 정의된 규칙에 따라 토큰이 유효한지 확인하기만 하면 됩니다. 이는 또한 토큰의 확장성을 높여줍니다.
단점:
(1) 암호화 및 암호 해독 소비로 인해 토큰 인증은 세션 쿠키보다 성능이 더 많이 소모됩니다.
(2) 토큰은 sessionId보다 크고 더 많은 대역폭을 차지합니다.
브라우저 없이는 앱이 쿠키를 저장할 수 없기 때문에 OAuth가 등장하여 사용자가 제3자 웹사이트에서 다른 서비스 제공업체에 저장된 정보에 액세스하도록 승인할 수 있습니다. 이전 승인 방법과 다른 점은 OAuth 승인이 허용되지 않는다는 것입니다. 즉, 제3자가 사용자의 사용자 이름과 비밀번호를 사용하지 않고 사용자의 리소스를 얻기 위해 인증을 신청할 수 있으므로 OAuth는 안전합니다.