인프런 커뮤니티 질문&답변

김동민님의 프로필 이미지
김동민

작성한 질문수

[코드팩토리] [초급] NestJS REST API 백엔드 완전 정복 마스터 클래스 - NestJS Core

User 커스텀 데코레이터 생성하기

Guard 사용 시 요청과 보안에 대한 질문

해결된 질문

작성

·

83

0

현재 Auth module에 있는 AccessTokenGuard 등을 보면 만약 어떤 사용자가 로그인했을 때 그 form에 있는 정보를 email:password로 받고 그것을 인코딩하여 서버로 전달하는 방식일텐데 결국 요청시에 base64로 잘 인코딩을 하여 보냈음에도 결국 Guard를 통과하면 req.user = user로 user에 대한 정보를 요청에 담은 후에 요청을 보내는 방식인 것 같은데 이러면 결국 요청에 user에 대한 정보가 담겨지는 것이고 이러면 보안상 문제가 생기는 것 아닌가요?

답변 1

0

코드팩토리님의 프로필 이미지
코드팩토리
지식공유자

안녕하세요!

정확히 어떤 보안적인 문제를 말씀하시는걸까요?

질문주신 상황을 잘 이해한 것 같은데 그게 어떤 문제가 될 수 있는지 잘 모르겠습니다.

서버에서 Guard를 통과하면 (사실 통과하기 전이라도 같습니다. 서버에서 인지를 한 순간이라면) 서버에 이미 요청이 들어와있는 상황입니다.

이미 서버 안에 들어온 요청을 외부에서 볼 수 있지 않냐는 질문인걸까요? 이건 불가능합니다. 이게 가능하려면 서버가 통째로 해킹돼야하고 그 상황이 이미 일어난 상황에 보안을 적용하는 방법은 존재하지 않습니다.

감사합니다!

김동민님의 프로필 이미지
김동민

작성한 질문수

질문하기