ABOUT.Series (7) HTTP 헤더 - 인증 / 쿠키

 

이번 포스팅에서는 HTTP 헤더 안에서 인증과 관련된 헤더, 쿠키 관련 헤더에 대해 알아보고자 한다.

 

< 목차 >

1. 인증
2. 쿠키

 

 

1. 인증 

인증과 관련된 헤더로는 기본적으로 Authorization 헤더가 있다.

• Authorization  :  클라이언트 인증 정보를 서버에 전달
• WWW-Authenticate  :  리소스 접근시 필요한 인증 방법 정의

👉  Authorization

• 클라이언트 인증 정보를 서버에 전달
• Authorization: Basic xxxxxxxxxx
• 인증과 관련해서는 여러가지 메커니즘이 존재하며 각 메커니즘 별로 Authorization: value에 들어가는 값이 다르다

👉  WWW-Authenticate

• 리소스 접근시 필요한 인증 방법 정의
• 401 (Unauthorized) 응답과 함께 사용
• 서버 쪽에서 401 오류를 내려줄 때 WWW-Authenticate 헤더를 넣어줌으로써 클라이언트가 해당 정보를 참고하여 제대로 된 인증 정보를 만들 수 있게끔 도와준다
• WWW-Authenticate: Newauth realm="apps", type=1, title="Login to \"apps\"", Basic realm="simple"

 

 

 

2. 쿠키 

쿠키(Cookie)를 사용할 때는 다음과 같이 2가지 종류의 헤더를 사용한다.

• Set-Cookie  :  서버에서 클라이언트로 쿠키 전달 (응답)
• Cookie  :  클라이언트가 서버에서 받은 쿠키를 저장하고, HTTP 요청시 서버로 전달

쿠키에 대해 좀 더 명확히 이해하기 위해 무상태성(Stateless) 개념에 대해 다시 한 번 짚고 넘어가도록 하자.

Stateless
-  HTTP는 무상태(Stateless) 프로토콜이다.
-  클라이언트와 서버가 요청과 응답을 주고 받으면 연결이 끊어진다.
-  클라이언트가 다시 요청하면 서버는 이전 요청을 기억하지 못한다.
-  클라이언트와 서버는 서로 상태를 유지하지 않는다.

HTTP는 무상태성을 지니고 있기 때문에 클라이언트와 서버가 서로의 상태를 유지하지 않는다. 이에 대한 대안으로 모든 요청과 링크에 사용자 정보를 포함해서 보내는 것을 생각해 볼 수 있다. 하지만 이러한 프로세스는 다음과 같은 문제점을 갖는다.

• 보안적인 이슈
• 개발자가 모든 요청에 사용자 정보가 포함되도록 개발해야 함
• 브라우저를 완전히 종료하고 다시 열면?

쿠키(Cookie)는 이러한 문제점들을 해결하기 위해 등장한 개념이다.

"bitkunst"라는 사용자가 로그인을 성공적으로 마치게 되면 서버는 Set-Cookie: user=bitkunst 와 같이 쿠키 헤더를 만들어서 응답을 하게 된다. 서버로부터 이러한 응답을 받은 클라이언트는 웹 브라우저 내부에 존재하는 쿠키 저장소에 user=bitkunst 라는 정보를 저장해 놓는다. 이후 클라이언트는 서버에 요청을 보낼 때마다 Cookie: user=bitkunst 헤더를 추가하여 웹 브라우저 내의 쿠키 저장소에 있는 user=bitkunst 라는 정보와 함께 요청을 보내게 된다. (이후 모든 요청에 쿠키 정보 자동 포함)

다음은 쿠키에 대해 간략하게 요약해본 내용이다.

• 사용처
  • 사용자 로그인 세션 관리
  • 광고 정보 트래킹
• 쿠키 정보는 항상 서버에 전송됨
  • 네트워크 트래픽 추가 유발
  • 최소한의 정보만 사용해야 함 (세션 id, 인증 토큰)
  • 서버에 전송하지 않고 웹 브라우저 내부에 데이터를 저장하고 싶으면 웹 스토리지 (localStorage, sessionStorage) 참고
• 주의사항
  • 보안에 민감한 데이터는 절대 저장하면 안됨 (주민번호, 신용카드 번호 등등)

 

하지만 이렇게 쿠키를 사용해 모든 요청에 쿠키 정보를 자동으로 포함시키는 것 역시 여러 보안적인 이슈를 발생시킬 수 있다. 이에 대한 대응책으로 쿠키를 생성할 때 제약 조건을 명시하게 된다.

set-cookie: sessionId=1234; expires=Sat, 26-Dec-2020 00:00:00 GMT; path=/; domain=google.com; Secure;

👉  쿠키 생명주기  :  expires , max-age

• Set-Cookie: expires=Sat, 26-Dec-2020 07:08:21 GMT
  • 만료일이 되면 쿠키 삭제
• Set-Cookie: max-age=3600  (3600초)
  • 유효기간이 지나면 쿠키 삭제
  • 0 이나 음수를 지정하면 쿠키 삭제
• 세션 쿠키  :  만료 날짜를 생략하면 브라우저 종료시까지만 유지
• 영속 쿠키  :  만료 날짜를 입력하면 해당 날짜까지 유지

👉  쿠키 도메인  :  domain

• ex)  domain=example.com
• 명시  :  명시한 문서 기준 도메인 + 서브 도메인 포함
  • domain=example.com 을 지정해서 쿠키 생성
    • example.com 은 물론이고
    • dev.example.com 에서도 쿠키 접근 가능
• 생략  :  현재 문서 기준 도메인만 적용
  • example.com 에서 쿠키를 생성하고 domain 지정을 생략
    • example.com 에서만 쿠키 접근 가능
    • dev.example.com 에서는 쿠키 미접근

👉  쿠키 경로  :  path

• ex)  path=/home
• 지정한 경로를 포함한 하위 경로 페이지만 쿠키 접근 가능
• 일반적으로 path=/  루트로 지정
• 예시)
  
  • path=/board 지정
  • /board  ->  가능
  • /board/movie  ->  가능
  • /board/movie/marvel  ->  가능
  • /welcome  ->  불가능

👉  쿠키 보안  :  Secure , HttpOnly , SameSite

• Secure
  • 일반적으로 쿠키는 http, https를 구분하지 않고 전송
  • Secure를 적용하면 https인 경우에만 전송
• HttpOnly
  • XSS 공격 방지
  • 자바스크립트에서 접근 불가 (document.cookie 불가능)
  • HTTP 전송에만 사용
• SameSite
  • XSRF 공격 방지
  • 요청 도메인과 쿠키에 설정된 도메인이 같은 경우에만 쿠키 전송