해결된 질문
작성
·
83
0
현재 Auth module에 있는 AccessTokenGuard 등을 보면 만약 어떤 사용자가 로그인했을 때 그 form에 있는 정보를 email:password로 받고 그것을 인코딩하여 서버로 전달하는 방식일텐데 결국 요청시에 base64로 잘 인코딩을 하여 보냈음에도 결국 Guard를 통과하면 req.user = user로 user에 대한 정보를 요청에 담은 후에 요청을 보내는 방식인 것 같은데 이러면 결국 요청에 user에 대한 정보가 담겨지는 것이고 이러면 보안상 문제가 생기는 것 아닌가요?
답변 1
0
안녕하세요!
정확히 어떤 보안적인 문제를 말씀하시는걸까요?
질문주신 상황을 잘 이해한 것 같은데 그게 어떤 문제가 될 수 있는지 잘 모르겠습니다.
서버에서 Guard를 통과하면 (사실 통과하기 전이라도 같습니다. 서버에서 인지를 한 순간이라면) 서버에 이미 요청이 들어와있는 상황입니다.
이미 서버 안에 들어온 요청을 외부에서 볼 수 있지 않냐는 질문인걸까요? 이건 불가능합니다. 이게 가능하려면 서버가 통째로 해킹돼야하고 그 상황이 이미 일어난 상황에 보안을 적용하는 방법은 존재하지 않습니다.
감사합니다!