RESTful (2) 리스트형 [정보보안] API 보안 체크 리스트 인증 (Authentication) Basic Auth를 사용하지 말고 표준 인증 방식을 사용하세요 (예로, JWT, OAuth 등)인증, 토큰 생성, 패스워드 저장은 직접 개발하지 말고 표준을 사용하세요. JWT (JSON Web Token)- 무작위 대입 공격을 어렵게 하기 위해 랜덤하고 복잡한 키값 (JWT Secret)을 사용하세요.- 요청 페이로드에서 알고리즘을 가져오지 마세요. 알고리즘은 백엔드에서 강제로 적용하세요. (HS256 혹은 RS256)- 토큰 만료기간(TTL, RTTL)은 되도록 짧게 설정하세요.- JWT 페이로드는 디코딩이 쉽기 때문에 민감한 데이터는 저장하지 마세요. OAuth- 허용된 URL만 받기 위해서는 서버단에서 redirect_uri가 유효한지 항상 검증하세요.- 토큰.. [백엔드] RESTful API 이해하기 RESTful 개념 이해하기백엔드 개발자라면 REST api라는 용어가 익숙할 것이라고 생각한다. 물론 나도 REST api에 대한 개념을 어렴풋이 갖고 있긴 하지만 그것이 뭐냐고 물으면 정확하게 답변하기가 어렵다. 개념이 제대로 잡히지 않았기 때문이라고 보는데..일반적은 웹어플리케이션 흐름은 MVC(Model/View Controller내 로직처리에 의한 Model 및 View 변경) 패턴이 일반 적이다. 즉 View의 개념까지를 포함하는 것이 웹의 기본. REST api는 View를 제외한 클라이언트 요청으로 서버내 비즈니스로직을 처리하는 api 정도로 가볍게 이해할 수 있다.REST(Representational State Transfer)의 약자로 특정 요청에 따른 표현 상태 전이를 표현한다는 의.. 이전 1 다음
