HTTP 인증

HTTP는 너무 어려운 것 같네요 ㅠㅠ 외울려고 글을 올리겠습니다. 몇 번째 읽는 지 ㅠㅠ 

HTTP인증 프레임워크

RFC 7235는 서버에 의해 클라이언트 요청을 시도하고, 클라이언트에 의해 인증 정보를 제공하기 위해 사용될 수 있는 HTTP 인증 프레임워크를 정의합니다.

이러한 시도와 응답과정은 다음과 같습니다.

서버는 클라이언트에게 401(Unauthorized)응답 코드를 가지고 응답, 최소한 한 번의 시도에 포함된 WWW-Authenticate 응답 헤더로 권한을 부여하는 방법에 대한 정보를 제공합니다.

 

서버와 인증을 하기를 원하는 클라이언트는 Authorization 요청 헤더 필드에 인증 정보를 포함함으로써 인증을 수행할 수 있습니다.

 

클라이언트는 대개 사용자에게 비밀번호 프름프트를 표시할 것이고 정확한 Authorization 헤더를 포함하는 요청을 만듭니다.

 

"Basic"인증의 경우의 교환은 안전을 위해 HTTPS(TLS) 연결 위에서 발생하여야 합니다.

 

 

프록시 인증

동일한 시도 및 응답 메커니즘이 프록시 인증을 위해서도 사용될 수 있습니다. 즉, 인증을 요구하는 중간 프록시입니다. 리소스 인증 및 프록시 인증은 함께 존재할 수 있기 때문에, 헤더와 상태 코드의 다른 세트가 필요합니다. 프록시의 경우, 요청에 대한 상태 코드는 407(Proxy Authentication Required)이며,

Proxy-Authenticate 응답 헤더는 프록시에 적용 가능한 최소한 하나의 요청을 포함합니다.

Proxy_Authorization 요청 헤더는 프록시 서버에 인증 정보를 제공하기 위해 사용합니다.

 

WWW-Authenticate와 Proxy-Authenticate 헤더

WWW-Authenticate 와 Proxy-Authenticate 응답 헤더는 자원에 대한 액세스를 얻기 위해 사용되어야 할 인증 방법을 정의합니다.

헤더의 문법은 다음과 같습니다.

WWW-Authenticate : <type> realm = <realm>

Proxy-Authenticate : <type> realm = <realm>

<type> : 인증 스킴

realm : 보호 되는 영역을 설명, 보호의 범위를 알리는데 사용

즉, 어떤 공간에 사용자가 접근하려고 시도하는지를 알리기 위하여, “중간 단계의 사이트에 대한 접근”과 같거나 또는 비슷한 메시지가 될 수 있습니다.

 

Authorization와 Proxy-Authorization 헤더

요청 헤더는 사용자 에이전트가(프록시) 서버에 인증을 하기 위한 인증 정보를 포함합니다.

이들은 인증을 하려는 클라이언트가 인증 정보를 제공할 방법을 알기 위해, 어떤 인증 스킴이 사용될 것인지를 구체적으로 적을 필요가 있습니다.

WWW-Authenticate : <type> realm =<relam>

Proxy-Authenticate : <type> realm =<relam>

인증 스킴

HTTP 인증 프레임워크는 여러 인증 스킴에 의해 사용됩니다. 스킴은 보안 강도와 클라이언트 , 서버 소프트웨어에서 사용 가능성에 따라 달라질 수 있습니다.

 

일반적인 인증 스킴은 Basic인증 스킴입니다.

이외의 Bearer, Digest, HOBA, Mutual, AWS4-HMAC-SHA256이 있습니다.

 

 

다음 포스터는 인증 스킴에 대해 알아보도록 하겠습니다. 감사합니다.