ercnam
6k
2020-12-04 15:30:37
3
109
#830087 Tech Q&A

임의의 URL로 이동 차단

음..

고객에게 주문서 페이지 URL을 문자로 발송한다는데

URL이 두가집니다. 간단하게 일반형과 고급형이라고 할게요.


URL경로상으로는 www.domain.co.kr/normal과 www.domain.co.kr/vip

이렇게 / 뒤에 분기해서 나가는 식으로 나오게 될텐데

뭐 실제로 그럴일은 적겠지만... 만약 normal 대상 고객이 브라우저상에서 /vip를 쳐서 이동하게 되면 고급형 주문서를 볼수있게 되는 문제가 발생하지 않을까 싶어서 그렇습니다...


문자메시지의 URL에다 뭐 GET, POST 를 구분해서 쏴줄수 있는것도 아닐테고..

이럴 경우 대상 고객을 DB에 사전 등록해두고 일종의 일련번호를 심던지 아니면 이름, 핸폰으로 대조해서 신청 대상이 맞는지 판별해야 할까요?

아니면 아예 주소창엔 www.domain.co.kr 까지만 나오고 뒤의 경로는 어떻게든 노출이 안된다면 나을지도 모르겠습니다만...

사이트 내에 복수의 페이지가 있는 상황에서 문자메시지로 제공한 URL에만 접근하게 할려면 어떤 방법을 쓸수 있을까요?

0
0

  • 답변 3

  • 바냐파노
    1k
    2020-12-04 16:24:21 작성 2020-12-04 16:24:50 수정됨

    로그인을 하게 하여 권한을 체크하는 단계가 추가되지 않고서는 힘들 것 같습니다.

    이건 저도 생각만 해본 방법인데, 고객별로 특정 인코딩된 문자열을 파라미터로 같이 보내서, 그 파라미터로 일반 주문서인지 고급 주문서인지 판별하는 방법도 있을 듯 합니다.

    예를 들어 www.domain.co.kr/normal?code=ABCD 하면 일반,  www.domain.co.kr/vip?code=ZXCV 하면 고급 이렇게.. 그렇다면 일반 주문서 링크를 받은 고객이 /normal 을 /vip 로 바꾸더라도 code를 모르면 고급주문서에 접근하지 못하겠죠. 물론 주문서 종류별 코드는 다 다르게 만들어서 저장해야 할 것입니다.

    0
  • 바냐파노
    1k
    2020-12-04 16:30:11

    그런데 문득 생각해 보니 주문서 같은 대외비 거래정보 같은 것을 url만 알면 누구나 접근하게 하는 건 좀 이상한 것 같다는 생각이 듭니다. 고객에게 주문서 url과 비밀번호를 같이 주고, 일반주문서와 고급주문서의 비밀번호를 다르게 설정하면 되지 않을까 싶네요.

    0
  • ercnam
    6k
    2020-12-04 16:47:52

    음...그렇군요...

    근데 주문서라곤 했지만 뭐 그렇게 엄청 비밀스러운건 아니구요..

    이를테면 만약 호텔예약을 신청한 고객에게 객실이나 기타 옵션 등을 고르게 할수있는 페이지를 보내주는 겁니다.

    음....애초에 신청할때 고르는거 아니냐고 하시면 할말은 없지만 일단 기존 시스템이 이렇게 되있어서 그런거 아닐까 추측만 할 뿐입니다 저도 (신청받는 시스템은 제가 관여할수 있는게 아님..)


    아무튼 뭐 대상 고객에게 문자로 URL을 보내준다. 정도까지가 끝인데

    뭐... 어차피 주문서를 받아서 처리하는 과정에서 이름, 폰번호 등으로 실제 고객인지 확인대조하는 프로세스가 있을테니 제가 괜한 걱정 하는거 아닌가 싶네요. 

    이미 제 상상 속에서는 URL이 온세상에 공표되어 누구나 보게되는 상황이 펼쳐지고 있습니다만 (...) 알게뭐람. 일단은 시키는대로 주문서 페이지나 만들어야...

    0
  • 로그인을 하시면 답변을 등록할 수 있습니다.