인프런 커뮤니티 질문&답변

3831568님의 프로필 이미지
3831568

작성한 질문수

CS 지식의 정석 | 디자인패턴 네트워크 운영체제 데이터베이스 자료구조

세션기반 인증방식 질문 있습니다.

해결된 질문

작성

·

504

·

수정됨

0

처음 로그인을 할 때 서버측에서 세션 id를 클라이언트에게 넘겨주면 세션 id를 통해서 페이지를 이동할 때마다 로그인 상태를 유지시켜주는 것으로 알고 있습니다.

  1. 그렇다면 세션 id는 새롭게 로그인 할때마다 랜덤한 새로운 세션 id를 부여해주는 건가요?

 

  1. 그리고 만약에 로그인된 컴퓨터의 세션id를 보고 다른 컴퓨터에서 그 세션 id를 그대로 입력하면 그 아이디로 로그인이 될까요?

 

  1. 로그 아웃을 하게 되면 서버에서 세션 id를 삭제하나요? 사용하지 않는 세션 id를 가지고 있다면 서버에 과부하가 올 수도 있을 것 같아요

답변 1

1

큰돌님의 프로필 이미지
큰돌
지식공유자

안녕하세요 수강생님 ㅎㅎ

  1. 그렇다면 세션 id는 새롭게 로그인 할때마다 랜덤한 새로운 세션 id를 부여해주는 건가요?

 >> 네 맞습니다.

  1. 그리고 만약에 로그인된 컴퓨터의 세션id를 보고 다른 컴퓨터에서 그 세션 id를 그대로 입력하면 그 아이디로 로그인이 될까요?

>> 세션 ID를 탈취해서 로그인을 한다는 말씀이시죠? 네 가능합니다.

다만, 이를 방지하기 위해 보통의 서비스는 다음과 같은 보안조치가 취해지고 있습니다.

1. 일정시간 동안 활동 없는 사용자에 대한 세션id를 재할당

2. 일정횟수 이상의 인증시패는 잠금기능 제공

3. 로그인 이외의 사용자 2차 인증시스템

4. HTTP가 아닌 HTTPS로 SSL적용

 

 

  1. 로그 아웃을 하게 되면 서버에서 세션 id를 삭제하나요? 사용하지 않는 세션 id를 가지고 있다면 서버에 과부하가 올 수도 있을 것 같아요

>> 네 삭제합니다. 다만 사용하지 않은 많은 세션id를 서버가 가지고 있다면 과부화가 올 수도 있습니다.

 

또 질문 있으시면 언제든지 질문 부탁드립니다.

좋은 수강평과 별점 5점은 제가 큰 힘이 됩니다. :)

감사합니다.

강사 큰돌 올림.

3831568님의 프로필 이미지
3831568

작성한 질문수

질문하기