하하하호호호
272
2020-10-21 10:30:50 작성 2020-10-21 10:33:52 수정됨
2
172

운영자만 볼수 있는 페이지로 들어갈때 POST방식으로만 처리해주면 안되죠?


그 페이지를 들어갈때 주소요청을 POST로만 하면

개발도구 같은걸로 뚫을수 있잖아요??

그러므로 백단에서 권한을 체크한다던지 하는 처리를 해줘야하는게 맞죠?

보통 그렇게 하죠?

0
  • 답변 2

  • 곰개발ㅈ ㅏ
    2020-10-21 10:39:44

    지금 이야기 하는 내용은 POST와 관련있다기 보다 권한을 어떻게 처리하는지에 달려 있습니다. 보통은 token으로 authentication을 처리하고, 유저가 누구인지 파악되면 endpoint에서 role이나 permission에 따라 401을 반환할지 안할지 판단하도록 만듭니다.

  • RWB
    335
    2020-10-21 10:42:12 작성 2020-10-21 10:42:48 수정됨

    POST도 요청 데이터를 body에 담아서 보낼뿐인거라, 브라우저 상에서 표면적으로 보이진 않아도 패킷분석 툴만 사용해도 금방 알 수 있습니다.

    해당 요청이 운영자가 요청했음을 알 수 있는 정보를 쿠키나 헤더에 담아서 요청하시면 됩니다.


    물론 헤더 역시 어렵지 않게 뜯어볼 수 있으므로, 헤더 값의 암호화 및 서버단에서의 검증을 잘 구성하시는게 좋습니다.

    (요청에 담긴 해당 아이디의 정보를 DB와 비교하여 운영자 아이디가 맞는지 확인한다던가 등)


    극단적으로 운영자용 PC 하나만 두고 운영자 관련 페이지는 해당 IP에서의 운영자 계정만 접근이 가능하도록 처리할 수도 있습니다. 위 경우 IP만 따서 비교하면 되므로 구현은 쉽겠지만, 해당 IP가 아닌 외부에서는 원격을 통한 접속이 아니면 접근 자체가 제한됩니다.


    검증이야 서비스에 맞게 구현하기 나름이라서, 이렇다할 정답은 없습니다. 모쪼록 원하는 방향대로 잘 설계하시길 바랍니다.

  • 로그인을 하시면 답변 을 등록할 수 있습니다.