Token Token, XSS, CSRF 이글은 JWT , Cookie , XSS ,CSRF 에 대해 다룬다 . JWT 와 Cookie 기반 인증 시스템의 차이점에 대한 내용을 기반으로 XSS ,CSRF 를 다룰것이다 . ● XSS - Cross site Scripting 으로 사용자의 정보(쿠키,세션)를 탈취하는 것이 목적인 공격 기법이다. 우선 JWT , Cookie 를 서로 비교해본다. 쿠키 기반 시스템과 토큰 기반 시스템으로... TokenXSScsrfToken ERC20 나만의 토큰 만들기 주소: 솔리디티 공부 = 사전에 메타마스크가 설치되어있어야하고, Ropsten테스트네트워크 계정에 테스트 1eth를 받은 후의 상태여야한다. 1) 탭으로 이동 2) ENVIRONMENT는 Injexted Web3로 해야 메타마스크에 연결이 된다. 3) 연결이 되면 ACCOUNT에서 테스트넷의 계정을 클릭 4) CONTRACT에서 MyToken을 찾아 Depoly탭 옆에 나의 토큰생성에 인자로... RemixTokenopenzeppelinsolidityERC20ERC20 🌤 BE TIL Day 6 0321 ⬇️ Main Note Two computers are requesting and responsing to each other to deliver the data. But sometimes, the request isn't sent properly. --> This is because the user requested to fetch the information even before the ... emailbackedNHN Cloudsendasync/awaitGabiaphoneTokenGabia [HTTP] http에 대하여 - 인증/인가 (1) 마침 오늘 오전 인증/인가 관련 세션이 진행되어 이어서 내용 정리해본다. 로그인을 하면, 나는 상품을 구매할 수 있다. 내 비밀번호는 중요한 개인정보이기 때문에 서버는 그대로 저장하지 않고 암호화 작업을 거친 후 저장한다. 이 때 hash 함수가 사용된다. 원본 메세지를 알면 digest는 알 수 있음 하지만 digest를 알아도 원본 메세지는 알 수 없음 하지만 hash 함수도 결국 dig... 인가bcryptBackendPayloadJWT인증TokenhttpBackend 3월 19일 (토) Access Token / Refresh Token postman에 저장되어있던 쿠키까지 나와서 그렇게 된 것, postman 초기화 후 재시도 하면 정상 작동한다... 토이프로젝트TokenTILTIL [CS] Token Day-84 Session authentication is cost by the server, while token authentication is cost by the client. What is Token? Tokens used in the arcade Token authentication was invented as a way to pay for the client. If the client has... JWT TypeheaderJWT StructurePayloadsignatureToken authenticationJWTTokenJWT [HTTP] http에 대하여 - 인증/인가 (2) http 인증/인가 🔐 django에서 인증/인가 (bcrypt, JWT) 를 구현하는 방법과, 인증/인가 간단 summary 이 때 비밀번호는 암호화해서 저장 (bcrypt 사용) 인가, Authorization: 사용자의 접근 권한을 확인하는 과정 (즉, 이 사용자가 request를 요청할 권한이 있는가를 판단) 그래서, django로 API를 구현할 때, 사용자의 비밀번호를 전달 받으면... authorizationdjangoBackendauthenticationTokenhttpBackend TIL # 2022.03.19 토큰 기반 인증(Token-based Authentication) 앞서 알아본 세션 기반 인증은 서버(혹은 DB)에 유저 정보를 담는 인증 방식이었다. 서버에서는 유저가 민감하거나 제한된 정보를 요청할 때마다 "지금 요청을 보낸 유저에게 우리가 정보를 줘도 괜찮은가?"를 확인하기 위해 가지고 있는 세션 값과 일치하는지 확인한다. 매 요청마다 데이터베이스를 살펴보는 것이 불편하고, 이 부담을 ... 인증/보안TokenToken JWT Json Web Token - 두 개체에서 JSON 객체를 사용하여 가볍고 self-contained 방식으로 정보를 안정성 있게 전달 self - contained : jwt는 필요한 모든 정보를 자체적으로 지니고있디다. 시스템에서 발급된 토큰은 토큰에 대한 기본 정보, 전달 할 정보, 토큰이 검증됐다는 것을 증명해주는 signature포함 사용하는 상황 회원 인증: JWT 를 사용하는 가... webTokenToken TIL 55일차 Session 인증 방식은 서버에서는 유저가 민감하거나 제한된 정보를 요청할 때마다 요청을 보낸 유저를 확인하기 위해 가지고 있는 세션 값과 일치하는지 확인하는데, 매 요청마다 데이터베이스를 살펴보는 것이 불편하고 서버에 부담을 줄 수 있기 때문에 토큰기반 인증이 사용되게 되었는데, 대표적인 토큰 인증 방식 중 하나로 JWT (JSON Web Token)이 있다. 1. Access Token... TokenToday I learnedToday I learned JSON Token 발급 및 검증 JWT 토큰을 만들기 위해 jsonwebtoken이라는 모듈을 설치해줍니다 랜덤 문자열을 받아오기 위해 터미널에 를 입력해주시구 위 값을 복사해 .env 파일에서 JWT_SECRET 값으로 설정해주겠습니다. 윈도우를 사용한다면 원하는 아무문자열이나 직접 입력해도 됩니다(문자열 길이는 상관없음) 비밀키는 절대로 외부에 공개되면 안됩니다!... BackendTokenBackend TIL(49)인증/보안(토큰) 토큰기반 인증 사용 이유 📌 매 요청마다 데이터베이스를 살펴보는 것이 불편하고 부담을 덜기 위해 사용되는 것이 토큰 기반 인증인 JWT(JSON Web Token) 이다. 클라이언트에서 인증 정보를 보관하는 방법으로 토큰 기반 인증이 고안되었다. 클라이언트가 토큰을 가지고 있다면 보통의 다른(돈을 내지 않은)유저들과는 다르게 서버에서 제공하는 다양한, 더 프리미엄한 기능을 요청할 수 있을 것... TILTokenTIL TokenAuthentication 갑자기 옆차기 하는 느낌이지만 Token을 통한 인증과 식별을 해볼 것이다. 외부 서비스 및 앱에서 세션인증을 사용할 수 없으며, 매번 username과 password를 넘기는 것은 위험하다는 것이 그 이유다. 이걸 하고나서 $ migrate를 수행해줘야 한다. 이렇게 authtoken에 관한 migrate가 이뤄지는 것을 볼 수 있었다. 이렇게 하고 난 후에는 SignUp view를 하나... TokendjangoTokenAuthenticationToken JWT 학습 JSON 객체를 사용하고 가볍고 자가수용적인 방식으로 정보를 안정성있게 전달해줍니다. JWT 는 필요한 모든정보를 자체적으로 지니고 있습니다. 그리고 토큰이 검증되었다는 것을 증명해주는 signature를 포함하고 있습니다. JWT는 두 개체 사이에서 안정성있게 정보를 교환하기에 좋은 방법. 정보가 sign으로 되어있기때문에 정보를 보낸이가 바뀌지 않았는지, 조작되지 않았는지 검증할 수 있음... JSON WEB TOKENJWTTokenJSON WEB TOKEN 로그인 프로세스(JS클로저, 권한분기,React HOC vs HOF) password와 email을 variables로 넘겨주고 로그인 했다는 것을 증명받아야 한다. AccessToken을 받았다는 것은 해당 사용자에 대한 검증이 완료 (이메일과 비밀번호가 일치) 되었다는 것을 뜻한다. 페이지를 열때 가장 먼저 작동하는 app.tsx에 작업을 해주면 된다. headers 로 AccessToken 을 담아서 넘겨준다. (우선 로그인페이지에서 app.tsx로 Ac... ClosuresJavaScriptReact HOCTokenloginReact HOFReactClosures [drf | token] Build a Backend REST API - 25 이번 시간은 로그인 이후 토큰 생성을 위한 API를 만들어 볼텐데요. 테스트는 4개 만들어 볼게요. test_create_token_for_user test_create_token_invailid_credentials(self): test_create_token_no_user test_create_token_missing_field test_user_api.py 파일에 상수를 만들게요. TO... django restframeworkAuthTokenAuth
Token, XSS, CSRF 이글은 JWT , Cookie , XSS ,CSRF 에 대해 다룬다 . JWT 와 Cookie 기반 인증 시스템의 차이점에 대한 내용을 기반으로 XSS ,CSRF 를 다룰것이다 . ● XSS - Cross site Scripting 으로 사용자의 정보(쿠키,세션)를 탈취하는 것이 목적인 공격 기법이다. 우선 JWT , Cookie 를 서로 비교해본다. 쿠키 기반 시스템과 토큰 기반 시스템으로... TokenXSScsrfToken ERC20 나만의 토큰 만들기 주소: 솔리디티 공부 = 사전에 메타마스크가 설치되어있어야하고, Ropsten테스트네트워크 계정에 테스트 1eth를 받은 후의 상태여야한다. 1) 탭으로 이동 2) ENVIRONMENT는 Injexted Web3로 해야 메타마스크에 연결이 된다. 3) 연결이 되면 ACCOUNT에서 테스트넷의 계정을 클릭 4) CONTRACT에서 MyToken을 찾아 Depoly탭 옆에 나의 토큰생성에 인자로... RemixTokenopenzeppelinsolidityERC20ERC20 🌤 BE TIL Day 6 0321 ⬇️ Main Note Two computers are requesting and responsing to each other to deliver the data. But sometimes, the request isn't sent properly. --> This is because the user requested to fetch the information even before the ... emailbackedNHN Cloudsendasync/awaitGabiaphoneTokenGabia [HTTP] http에 대하여 - 인증/인가 (1) 마침 오늘 오전 인증/인가 관련 세션이 진행되어 이어서 내용 정리해본다. 로그인을 하면, 나는 상품을 구매할 수 있다. 내 비밀번호는 중요한 개인정보이기 때문에 서버는 그대로 저장하지 않고 암호화 작업을 거친 후 저장한다. 이 때 hash 함수가 사용된다. 원본 메세지를 알면 digest는 알 수 있음 하지만 digest를 알아도 원본 메세지는 알 수 없음 하지만 hash 함수도 결국 dig... 인가bcryptBackendPayloadJWT인증TokenhttpBackend 3월 19일 (토) Access Token / Refresh Token postman에 저장되어있던 쿠키까지 나와서 그렇게 된 것, postman 초기화 후 재시도 하면 정상 작동한다... 토이프로젝트TokenTILTIL [CS] Token Day-84 Session authentication is cost by the server, while token authentication is cost by the client. What is Token? Tokens used in the arcade Token authentication was invented as a way to pay for the client. If the client has... JWT TypeheaderJWT StructurePayloadsignatureToken authenticationJWTTokenJWT [HTTP] http에 대하여 - 인증/인가 (2) http 인증/인가 🔐 django에서 인증/인가 (bcrypt, JWT) 를 구현하는 방법과, 인증/인가 간단 summary 이 때 비밀번호는 암호화해서 저장 (bcrypt 사용) 인가, Authorization: 사용자의 접근 권한을 확인하는 과정 (즉, 이 사용자가 request를 요청할 권한이 있는가를 판단) 그래서, django로 API를 구현할 때, 사용자의 비밀번호를 전달 받으면... authorizationdjangoBackendauthenticationTokenhttpBackend TIL # 2022.03.19 토큰 기반 인증(Token-based Authentication) 앞서 알아본 세션 기반 인증은 서버(혹은 DB)에 유저 정보를 담는 인증 방식이었다. 서버에서는 유저가 민감하거나 제한된 정보를 요청할 때마다 "지금 요청을 보낸 유저에게 우리가 정보를 줘도 괜찮은가?"를 확인하기 위해 가지고 있는 세션 값과 일치하는지 확인한다. 매 요청마다 데이터베이스를 살펴보는 것이 불편하고, 이 부담을 ... 인증/보안TokenToken JWT Json Web Token - 두 개체에서 JSON 객체를 사용하여 가볍고 self-contained 방식으로 정보를 안정성 있게 전달 self - contained : jwt는 필요한 모든 정보를 자체적으로 지니고있디다. 시스템에서 발급된 토큰은 토큰에 대한 기본 정보, 전달 할 정보, 토큰이 검증됐다는 것을 증명해주는 signature포함 사용하는 상황 회원 인증: JWT 를 사용하는 가... webTokenToken TIL 55일차 Session 인증 방식은 서버에서는 유저가 민감하거나 제한된 정보를 요청할 때마다 요청을 보낸 유저를 확인하기 위해 가지고 있는 세션 값과 일치하는지 확인하는데, 매 요청마다 데이터베이스를 살펴보는 것이 불편하고 서버에 부담을 줄 수 있기 때문에 토큰기반 인증이 사용되게 되었는데, 대표적인 토큰 인증 방식 중 하나로 JWT (JSON Web Token)이 있다. 1. Access Token... TokenToday I learnedToday I learned JSON Token 발급 및 검증 JWT 토큰을 만들기 위해 jsonwebtoken이라는 모듈을 설치해줍니다 랜덤 문자열을 받아오기 위해 터미널에 를 입력해주시구 위 값을 복사해 .env 파일에서 JWT_SECRET 값으로 설정해주겠습니다. 윈도우를 사용한다면 원하는 아무문자열이나 직접 입력해도 됩니다(문자열 길이는 상관없음) 비밀키는 절대로 외부에 공개되면 안됩니다!... BackendTokenBackend TIL(49)인증/보안(토큰) 토큰기반 인증 사용 이유 📌 매 요청마다 데이터베이스를 살펴보는 것이 불편하고 부담을 덜기 위해 사용되는 것이 토큰 기반 인증인 JWT(JSON Web Token) 이다. 클라이언트에서 인증 정보를 보관하는 방법으로 토큰 기반 인증이 고안되었다. 클라이언트가 토큰을 가지고 있다면 보통의 다른(돈을 내지 않은)유저들과는 다르게 서버에서 제공하는 다양한, 더 프리미엄한 기능을 요청할 수 있을 것... TILTokenTIL TokenAuthentication 갑자기 옆차기 하는 느낌이지만 Token을 통한 인증과 식별을 해볼 것이다. 외부 서비스 및 앱에서 세션인증을 사용할 수 없으며, 매번 username과 password를 넘기는 것은 위험하다는 것이 그 이유다. 이걸 하고나서 $ migrate를 수행해줘야 한다. 이렇게 authtoken에 관한 migrate가 이뤄지는 것을 볼 수 있었다. 이렇게 하고 난 후에는 SignUp view를 하나... TokendjangoTokenAuthenticationToken JWT 학습 JSON 객체를 사용하고 가볍고 자가수용적인 방식으로 정보를 안정성있게 전달해줍니다. JWT 는 필요한 모든정보를 자체적으로 지니고 있습니다. 그리고 토큰이 검증되었다는 것을 증명해주는 signature를 포함하고 있습니다. JWT는 두 개체 사이에서 안정성있게 정보를 교환하기에 좋은 방법. 정보가 sign으로 되어있기때문에 정보를 보낸이가 바뀌지 않았는지, 조작되지 않았는지 검증할 수 있음... JSON WEB TOKENJWTTokenJSON WEB TOKEN 로그인 프로세스(JS클로저, 권한분기,React HOC vs HOF) password와 email을 variables로 넘겨주고 로그인 했다는 것을 증명받아야 한다. AccessToken을 받았다는 것은 해당 사용자에 대한 검증이 완료 (이메일과 비밀번호가 일치) 되었다는 것을 뜻한다. 페이지를 열때 가장 먼저 작동하는 app.tsx에 작업을 해주면 된다. headers 로 AccessToken 을 담아서 넘겨준다. (우선 로그인페이지에서 app.tsx로 Ac... ClosuresJavaScriptReact HOCTokenloginReact HOFReactClosures [drf | token] Build a Backend REST API - 25 이번 시간은 로그인 이후 토큰 생성을 위한 API를 만들어 볼텐데요. 테스트는 4개 만들어 볼게요. test_create_token_for_user test_create_token_invailid_credentials(self): test_create_token_no_user test_create_token_missing_field test_user_api.py 파일에 상수를 만들게요. TO... django restframeworkAuthTokenAuth