1. 보안 고려 사항 2. UUID생성 Python 예제 # 예제 코드 -1 uuid4()함수를 이용한 랜덤 UUID 생성 예제 코드 import uuid new_uuid = uuid.uuid4() print(f”The generated UUID is : {new_uuid}”) # 예제 코드 -2 secrets모듈을 이용한 랜덤 UUID생성 예제 코드 import secrets def generated_uuid(): return secrets.token_hex(16) # 예제 코드 -3 OWASP의 ESAPI 프레임워크를 이용한 예제 […]
Q. UUID 사용할 때 고려해야 하는 보안 사항에 대한 문의 더 읽기"
보안 고려사항 1. 통신구간 암호화를 사용한다.– 통신상의 도청, 변조 공격을 방지하기 위하여 Client와 OAuth server간의 모든 통신구간을 HTTP/TLS로 암호화를 적용한다.(TLS1.2이상)– MiTMA(main in the middle attack)을 방지하기 위해서는 OAuth Server의 인증서를 Client에서 검증할 수 있도록 E2E암호화를 적용한다. 2. 안전하게 Client Secrets(Client ID에 대한 비밀키)을 저장한다.– Client secrets는 client측에 안전하게 저장되어야 하며 평문으로 전송되거나 코드내에 포함되어 있어서는
Q. OAuth로 인증을 설계 및 구현할 때 보안 고려 사항에 대한 문의 더 읽기"
MSA와 같은 분산 환경에서 사용되는 인증 기술 종류 Microservice Architecture와 같은 분산 환경의 서비스 개발 시 사용자 인증 및 권한 구현과 관련된 대표적인 기술로는 OAuth 2.0, JWT, OpenID Connect, SAML, API Key, CI/DI, 생체 인증을 고려할 수 있다. 인증 및 권한 부여 기술은 크게 중앙 집중 방식의 인증과 분산형 방식으로 나눌 수 있으며, 어떤 인증 기술을 선택할
Q. MSA와 같은 분산 환경에서 고려할 수 있는 인증 기술에 대한 문의 더 읽기"
Session 방식은 서버가 Session을 생성 및 저장하고 클라이언트에게 보냈다가 클라이언트의 요청 시 두개의 값을 비교하여 허용된 클라이언트인지를 식별하는 방식이라면, JWT Token 방식은 이와 다르게, 인증 과정을 거친 후에 클라이언트의 정보를 이용하여 자신의 Private key로 Token을 생성하고 클라이언트에 보낼 뿐 서버가 이를 저장하지 않으며, 클라이언트 요청 시 보내온 JWT가 자신의 Private key로 발행한 Token인지를 확인함으로써 허용된
Q. JWT(JSON Web Token) 개발 시 Toekn의 생성부터 폐기까지 라이프 사이클에 대한 문의 더 읽기"
최근 JWT(JSON Web Token)기반으로 사용자 인증 및 권한 관리를 구현하는 경우가 많아졌다. JWT는 전통적인 session 방식과 다르게, 서버에 인증 정보를 갖지 않아도 되는 특장점들이 있기 때문에 기존의 전통적인 session기반의 인증 처리와 함께 사용 범위가 확대되고 있다. JWT 토큰 생성하는 부분을 개발할 때, 클라이언트의 특징 정보들을 활용하여 JWT보안 강화하는 방법들이 몇 가지 있으며, 서비스 환경과 목적에
Q. JWT(JSON Web Token)기반 인증 및 권한관리 구현 시 보안강화를 위한 방안 문의 더 읽기"
JWT(JSON Web Token) 개발 시 보안 원칙 Microservice Architecture기반의 개발이 많아지면서 독립적인 Microservice들 간의 클라이언트(사용자 또는 시스템) 인증 및 권한을 위해 사용되는 주요 기술들을 요약하면 아래와 같다. – JSON Web Token(JWT)– OAuth 2.0– API Gateway(중앙집중식 인증관리)– Service Mesh– Mutual TLS(mTLS)– IAM Platform 이중에서 JWT기술은 대표적인 기술이며 개발 현장에서 JWT형식의 Token을 생성하여 Session에 넣어서 사용하는 것이 일반적이다. 그리고
Q. JWT(JSON Web Token) 개발시 보안 고려사항에 대한 문의 더 읽기"
WT(JSON Web Token)는 Session방식과 다르게, JWT 자체로 필요한 인증 및 권한정보를 포함하는 상태로 설계되어 있기 때문에, 전통적인 Session기반의 인증방식과는 다르게 서버 측에서 JWT Token을 별도로 저장할 필요가 없다. 그러나 Token Whitelisting 또는 Blacklisting을 위해 JWT를 서버에 저장하는 경우도 있다. JWT방식은 왜 등장하게 되었는가? 기존의 전통적인 Session방식은 stateful방식으로써 모든 클라이언트의 session정보를 서버(데이터베이스나 캐시)에 저장하고 있어야 한다.
Q. Session와 JWT(JSON Web Token) 인증방식에 대한 문의 더 읽기"
Session ID, Access Token, JWT 특성 비교 Session ID, Access Token, JWT(JSON Web Token)은 사용자(또는 시스템)에 대한 인증 및 권한부여를 위해 사용되는 대표적인 기술이다. 이 기술들은 실제 복합적으로 사용되지만 각기 목적과 저장위치, 생성 및 관리상의 특성이 있기 때문에 이를 잘 이해해야 적합한 기술을 유효적절하게 선택할 수 있을 것이다. 구분 목적 생성 방법 저장 위치 관리
Q. Session ID, Access Token, JWT의 비교와 개발 시 주요 보안 고려 사항은? 더 읽기"
