[Backend] 인증 / 보안

Chapter1. 웹 인증/보안
1.왜 HTTPS가 HTTP보다 안전한 지 이해한다.
2.HTTPS의 암호화 방식에 대해 이해한다.
3.HTTPS에서 사용하는 대칭키, 비대칭키 방식에 대해 이해한다.
4.직접 로컬에서 HTTPS 인증서를 발급할 수 있다.
5.Hashing이 필요한 이유에 대해 이해한다.
6.데이터베이스에 유저의 비밀번호와 같이 민감한 정보를 평문으로 저장하지 않는 이유에 대해 이해한다.
Chapter2. Cookie / Session
7.쿠키의 작동 원리를 이해할 수 있다
8.회원가입 및 로그인 등의 유저 인증에 대해 설명할 수 있다.
9.세션의 개념을 이해할 수 있다.
10.쿠키와 세션은 서로 어떤 관계이며, 각각이 인증에 있어서 어떤 목적으로 존재하는지 이해할 수 있다.
11.세션의 한계를 이해할 수 있다.


1.HTTPS는 HTTP에서 S(Secure Socket layer)이 추가된 것으로 통신을 하는 과정에서 데이터를 암호화하여 전송하는 방법이다.

2.키 제작용 랜덤 스트링을 전송하고 세션 키로 암호화 된 메세지를 보내고 받은 메세지는 받은 키로 해독한다.

3.대칭키는 간단하게 말해서 순수함수를 적용한 느낌으로 변경시키기 때문에 그 역계산을 통해 암호화 -> 복호화를 할 수 있다. 하지만 비대칭키는 암호화 된 과정을 거꾸로 작동시켜도 복호화가 되지 않기 때문에 보안에 있어서 더 뛰어나다.

4.mkcert -key-file key.pem -cert-file cert.pem localhost 127.0.0.1 ::1을 통해 인증서를 발급할 수 있다.

5.hashing을 하지 않고 단순하게 암호화 -> 역암호가 가능한 단순한 암호화를 할 경우 중간에 탈취된 데이터에 암호화의 반대과정을 적용하면 암호화를 한 의미가 없으므로 hashing을 통해 중간 과정에서 민감정보가 탈취되더라도 복호화를 할 수 없게 한다.

6.데이터베이스에 평문으로 저장할 경우 중간에서 가로챌 수 있다/

7.쿠키는 서버가 클라이언트에 특정한 데이터를 저장하는 방식으로 무상태성과 빠른 반응을 위해 쿠키를 이용한다.

8.회원 가입은 서버에 그 회원의 데이터를 올리는 작업이고 로그인은 아이디와 비밀번호를 전송해 해당 데이터와 일치하는 회원의 데이터가 있는 경우 그 값을 반환해주는 방식으로 진행된다.

9.세션은 사이트측에서 회원의 로그인정보를 기억하고 있는 방식이다.

10.쿠키는 클라이언트측에 기억하게 강요한다면 세션은 중요정보는 서버측에서 가지고 있는 방식으로 보안면에서는 세션이 더 유리하다.

11.무상태성이 아닌 상태성이 되어버리므로 서버를 확장하거나 다른 서버에서 처리할 수 없는 등의 불리함을 가지고 있다.

오늘이 역대 가장 어려웠던게 아닌가 싶을 정도로 엄청난 난이도였다..
데이터를 주고 이해하는 방식이라면 크게 어렵지 않았을 것 같은데
어려운 난이도에 정보도 조금 부족했기 때문에 종료시간에서 10분이 지났음에도 119명이 방에 남아있는 어마어마한 모습을 볼 수 있었다.