인증(Authentication)과 인가(Authorization)
인증 / 인가
인증 / 인가 정보 유지는 세션과 SID를 기반으로 한다.
인증 ( Authentication )
사용자의 신원을 증명하는 것. e.g., 로그인한 사용자는 인증된 사용자.
인가 ( Authorization )
특정 리소스에 접근할 수 있는 권한을 부여하는 것. 접근 제어(access control)라고도 볼 수 있다.
Identification / Verification / Authentication / Certification
- https://www.jumio.com/identification-authentication-verification-compared/
- certification은 자격(자격증)을 증명한다는 의미임. 신원 증명의 뜻은 아니다.
- authentication은 인증. 너가 시스템에 등록된 이 계정의 실 소유주가 맞는지?
- e.g., ID/PW 인증. 생체 인증. 이메일 인증
- 로그인 시점에 정보(가입시점에 너가 넘긴 정보)를 전달받아서 서버에 저장되어 있는 정보와 대조하여 일치하는지 확인하는 작업
- verification은 검증. A라고 주장하는 사람이 실제로 A가 맞느냐?를 검증. (검사-증명)
- e.g., fds를 통해서 검증하다. 3ds를 통해서 검증하다.
- 개인정보를 받아 신뢰할 수 있는 기관을 통해 조회하거나 하는 로직. 보통 1회 수행 (가입 시점 등)
Apache
단순히 .htaccess만 사용하는 경우
`` 403 Forbidden``
디렉토리 단위. IP 기반. 관리자 페이지 접근 제어 정도에 활용할 수 있다.
HTTP 표준
표준이지만 보안 때문에 거의 쓰지 않는다. 접근 제어는 디렉토리 단위.
Basic 인증
`` 401 Unauthorized``를 반환하는 동시에 response에 `` WWW-Authenticate: Basic`` 헤더가 지정되어 돌아온다.
ID / PW를 Base64 인코딩해서 보내기 때문에 쓰기가 좀 그렇다.
.htaccess 파일에 `` AuthType Basic`` 등 관련 설정을 넣고 서버 사이드에서
```php
header("WWW-Authenticate: Basic realm=\"REALM\"");
header("HTTP/1.1 401 Unauthorized");
```
입력하면 되기 때문에 간단히 사용할 수 있다.
입력한 ID / PW는 php의 경우 ``php $_SERVER['PHP_AUTH_USER'], $_SERVER['PHP_AUTH_PW']``에 할당된다.
Digest 인증
`` 401 Unauthorized``를 반환하는 동시에 response에 `` WWW-Authenticate: Digest`` 헤더가 지정되어 돌아온다.
ID / PW를 입력하면, 서버 정보+클라이언트 정보를 병합하고 MD5 해시를 전송하기 때문에 Basic 보다는 좀 낫지만 역시 쓰기가 좀 그렇다.
OAuth
`` 401 Unauthorized``를 반환하는 동시에 response에 `` WWW-Authenticate: Bearer`` 헤더가 지정되어 돌아온다.
통합 인증. 많이 쓰인다. 구글로 로그인 페이스북으로 로그인 이런게 OAuth를 이용한 것.
TLS/SSL client certificate
X.509 공개키 인증서를 사용하는 방식. 좋지만 비용이 문제다.
HTTP+HTML form-based authentication
제일 많이 사용되는 방식. HTTP 뿐만 아니라 HTML도 함께 사용해 인증을 처리하는 방식이다.
거창한게 아니라 ``html <form>``을 사용해 ID / PW를 전송하는 방식을 말한다.
각 웹 어플리케이션에서 직접 구현하기 때문에 처리가 모두 다를 수 있으며 세밀한 컨트롤이 가능하다.
'Security > WebHacking' 카테고리의 다른 글
Blind SQL Injection (0) | 2017.08.08 |
---|---|
Basic SQL injection (0) | 2017.08.08 |
Brute Force / Replay Attack (0) | 2017.06.28 |
Session & HTTP Session hijacking (0) | 2017.06.27 |
Filtering / Escape (0) | 2017.06.27 |