로그인 이란?

  • 식별과 인증 작업
  • 사용자가 데이터를 입력하면, 데이터와 일치하는 값을 찾아내고 그 값에 해당 사용자가 맞는지 확인하는 작업

식별/인증

식별이란?

  • 수 많은 데이터 중 특정 데이터를 찾아내는 작업
  • 식별 정보는 유니크해야 하므로 보통 PK(Primary Key)로 둠
    • Primary Key란?
      • 데이터베이스에서 특정 데이터를 유일하게 식별하기 위해 사용되는 필드 또는 필드의 집합.
      • 각 데이터에 대해 고유함.
      • NULL값 허용 안됨
      • 테이블당 하나의 컬럼에 기본키를 지정할 수 있음
  • ID값, 전화번호, 이메일 등으로 식별할 수 있음
  • 노출이 되어도 상관 없음
  • 고유식별번호(주민등록번호, 운전면허 번호 등)와는 구분해야 함 -> 노출 되면 안됨

인증이란?

  • 해당 사용자 본인이 맞는지 확인하는 작업
  • 인증정보(ex) 비밀번호, OTP 등)을 사용하여 비교함

HASH란?

  • 입력 데이터를 고정된 길이의 문자열로 변환하는 단방향 함수
  • 복호화 불가능
  • 비밀번호 저장, 데이터 무결성 검사 등에 활용됨
  • 암호화와 인코딩과는 다름

로그인 케이스

1. 식별과 인증을 동시

$sql = "select * from member where id = '$user_id' and pass = '$user_pass'"

$ret = $sql.execute();

if($ret){
	//로그인 성공
}else{
	//로그인 실패
}

2. 식별과 인증을 분리

$sql = "select * from member where id = '$user_id'" //식별

$db_pass = sql.ret['pass']
//인증
if($db_pass == $user_pass){
	//로그인 성공
}else{
	//로그인 실패
}

3. 식별과 HASH를 이용하여 인증을 동시

$hashed_pw = hash('sha256', $user_pass); // 비밀번호 해시 적용

$sql = "select * from member where id = '$user_id' and pass = '$hashed_pw'";

$ret = $sql.execute();

if($ret){
	//로그인 성공
}else{
	//로그인 실패
}

4. 식별과 HASH를 이용하여 인증을 분리

$sql = "SELECT * FROM member WHERE id = '$user_id'"; // 식별
$ret = $sql.execute();

//인증
if ($ret) {
    // 데이터베이스에서 가져온 해시된 비밀번호
    $db_pass = $ret['pass'];
    
    // 입력한 비밀번호와 해시된 비밀번호를 비교
    if (password_verify($user_pass, $db_pass)) {
        // 로그인 성공
    } else {
        // 로그인 실패
    }
} else {
    // 로그인 실패
}

로그인 유지

쿠키

  • 웹 서버가 클라이언트(브라우저)에 저장하는 작은 데이터 파일
  • 로그인 상태 유지, 쇼핑 카트 정보 저장하는 데에 사용
  • 클라이언트 측에 저장되므로, 사용자가 수정할 수 있으며, 악의적인 접근에 노출될 위험이 있음
    • 중요한 정보는 쿠키에 저장하지 않는 것이 좋음

세션

  • 웹 서버가 사용자의 상태 정보를 서버에 저장하는 파일
  • 사용자 로그인 상태 유지, 사용자 정보 및 상태 관리, 보안이 필요한 데이터 저장하는 데에 사용
  • 쿠키에 랜덤한 세션 ID 값을 저장하여 세션을 식별함
  • 데이터가 서버에 저장되므로, 클라이언트에서 직접적으로 수정할 수 없음
    • 쿠키에 비해 보안성이 상대적으로 높음

후기

  • 단방향으로 데이터를 변환하여 복호화할 수 없는 특성이 있는 해시 알고리즘과 웹에서 사용자 정보를 저장하고 관리하는 대표적인 방식인 쿠키와 세션에 대해 배웠다.
  • 웹 개발을 했을 당시 SHA-256 알고리즘만 사용하여 따로 찾아보지 않았는데 이번 학습으로 해시 알고리즘에 대해 찾아보면서 여러 가지 알고리즘이 있다는 것을 알았다. 각각의 특징과 종류에 대하여 추가로 학습하여 정리해야겠다.
  • 웹에서 사용자 정보를 저장하고 인증 상태를 유지 및 관리하는 방식은 쿠키, 세션 외에도 JWT나 로컬 스토리지, 세션 스토리지 등 여러 방식이 있고 각각의 상호작용을 어떻게 하는지 학습하여 추가로 정리해야겠다.
728x90
반응형
저작자표시 비영리 동일조건

'모의해킹 > 모의해킹 스터디' 카테고리의 다른 글

모의해킹 스터디 3주차 과제(2) - 리눅스 환경에서 PHP로 JWT 구현  (0) 2024.11.06
모의해킹 스터디 3주차 과제(1) - 로그인 케이스 구현  (0) 2024.11.01
모의해킹 스터디 2주차 과제(2) - 로그인  (0) 2024.10.28
모의해킹 스터디 2주차 과제(1) - 회원가입  (0) 2024.10.27
모의해킹 스터디 2주차 과제 - Mini Mission  (0) 2024.10.26

티스토리툴바