제 8장. 누가 엑세스하고 있는지를 확인하는 인증

HTTP에서 사용하는 인증 방법 4가지를 알아보자.

 

📘 1. BASIC 인증

• 웹 서버와 대응하고 있는 클라이언트 사이에서 이뤄지는 인증 방식

🔎 인증 절차

1. 요청 송신
2. 상태 코드 401로 응답해서 인증이 필요하다는 것을 전달
3. 유저ID와 패스워드를 Base64 형식으로 인코딩한 것을 송신
4. 인증 성공 시 200으로 응답하고, 실패 시 401로 응답

 

• BASIC 인증에서는 Base64라는 인코딩 형식을 사용 (아무런 부가 정보 없이도 복호화가 가능하다는 것)
• BASIC 인증을 하면, 일반 브라우저에서는 로그아웃을 할 수 없다는 문제가 있음
• 사용상의 문제와 많은 웹 사이트에서 요구되는 보안 등급에 미치지 못한다는 면에서 그다지 많이 사용되고 있지는 않음

 

 

📘 2. DIGEST 인증

• BASIC 인증의 약점을 보안한 것
• 챌린지 응답 방식이 사용되고 있어서 BASIC 인증과 같이 패스워드를 있는 그대로 직접 보내는 일은 없음

 

챌린지 응답 방식이란

1. 상대방에게 인증 요구를 보내고
2. 상대방 측에서 챌린지 코드를 사용해서 응답 코드를 계산하고
3. 이 값을 상대에게 송신하여 인증을 하는 방법

이다.

 

• 응답 코드라는 패스워드와 챌린저 코드를 이용해서 계산한 결과를 상대에게 보내기 때문에 BASIC 인증과 같은 방식에 비하면 패스워드가 누출될 가능성이 줄어듦

 

🔎 인증 절차

1. 요청 송신
2. 인증이 필요하다는 것을 전달하는 상태코드 401과 함께 챌린지 코드를 송신
3. 상태 코드 401을 수신한 클라이언트는 DIGEST 인증을 위해 필요한 정보를 Authorization 헤더 필드에 포함해서 응답
4. 인증 성공 시 200으로 응답하고, 실패 시 401로 응답

 

• DIGEST 인증도 BASIC 인증과 마찬가지로 사용상의 문제와 많은 웹 사이트에서 요구되는 보안 등급에 미치지 못한다는 점에서 그다지 사용되고 있지는 않음

 

 

📘 3. SSL 클라이언트 인증

• SSL 클라이언트 인증은 HTTPS의 클라이언트 인증서를 이용한 인증 방식이다
• 사전에 등록된 클라이언트에서의 액세스인지 아닌지를 확인할 수 있다

 

🔎 인증 절차

1. 요청 송신
2. 인증이 필요한 리소스의 요청이 있었을 경우 서버는 클라이언트에게 클라이언트 증명서를 요구하는 'Certificate Request'라는 메시지를 송신
3. 클라이언트는 증명서를 선택하고 'Client Certificate' 메시지와 함께 송신
4. 서버는 증명서를 검증하여 검증 결과가 정확하다면 클라이언트의 공개키를 취득. 그 이후에 HTTPS에 의한 암호를 개시

 

• SSL 클라이언트 인증은 대부분의 경우 단독으로 사용되지는 않고, 폼 베이스 인증과 합쳐서 2-factor 인증의 하나로서 이용
• 2-factor 인증이란 예를 들면 패스워드라는 한 개의 요소만이 아닌 이용자가 가진 다른 정보를 병용해서 인증을 하는 방법

 

• SSL 클라이언트 인증에서는 클라이언트 증명서를 이용할 필요가 있기 때문에 비용이 발생한다.

 

 

📘 4. 폼 베이스 인증

• 폼 베이스 인증은 HTTP 프로토콜로서 사양이 정의되어 있는 인증 방식은 아니다
• 클라이언트가 서버 상의 웹 애플리케이션에 자격 정보(Credential)를 송신하여 그 자격 정보의 검증 결과에 따라 인증을 하는 방식이다
• 대부분의 경우에는 사전에 등록해 둔 자격 정보인 유저ID와 패스워드를 입력해서 이것을 웹 애플리케이션에 송신하고 검증 결과를 토대로 검증 성공 여부를 결정
• 보안적인 문제(BASIC 인증, DIGEST 인증)와 비용적인 문제(SSL 클라이언트 인증)로 인해서 인증의 대부분은 폼 베이스 인증을 사용
• 세션 관리와 쿠키를 이용해서 HTTP에 없는 상태 관리 기능을 보충함