RESTful 아키텍처를위한 인증 체계를 구현해야한다. 내가 읽은 여러 기사에서 HTTP를 사용하는 기본 인증과 쿠키를 사용하여 세션 관리를 포함합니다.RESTful 인증 스키마
그러나 나는 쿠키의 사용을 잘 이해하지 못하고 있습니다. 내가 이해하는 것은 사용자가 처음으로 자격 증명을 전송한다는 것입니다. 서버는 신임이 OK인지 확인합니다. '예'인 경우 서버는 인증 토큰을 생성하여 쿠키에 저장합니다. 이후, 각 요청마다 서버는 쿠키에서 토큰의 유효성을 검사합니다.
그러나 쿠키 내용이 유효 함을 서버가 어떻게 알 수 있습니까? 어딘가에 그것을 저장하고 그것을 비교합니까 ??
우리가 쿠키에 토큰을 보낼 때마다 보안 위협이 발생할 수 있다고 생각합니까 ?? – Noor
위에서 설명한 바와 같이 토큰을 다시 서버로 보내는 것은 확실히 보안 문제이므로 HTTPS 프로토콜을 사용하여 최소화해야합니다. – sangupta
글쎄, 은행 시스템 용으로 사용할 지 모르겠다.하지만 토큰을 만들 때 모든 로그인에 대해 고유 한 번호 (예 : 타임 스탬프)를 사용하면 다른 사람이 도용하더라도 시스템이 타임 스탬프가 다르기 때문에 "도둑"이 로그온 할 수있게하십시오. 설명 된 방법은 대부분의 경우 충분히 안전해야합니다. 좀 더 편집적이라면 쿠키 대신 데이터베이스에 세션을 저장하는 방법을 살펴보십시오. –