Dionysius
10
2021-07-05 11:48:29
1
119

AWS API Gateway를 사용해서 Ajax post로 ID,Pw 받을때 보안 관련 질문


AWS API Gateway에서 리소스 생성을 할때 

https:// api /버젼/리소스/{email}

이렇게 설정을 하고 


웹페이지에서 data쪽에 ajax로 id,pw를 

 $.ajax({
                    type: 'POST',
                    url: "https://api/버젼/리소스1/"+email,
                    data: {email: emailpassword: password},


이렇게 보냇을때 apigate way에서 템플릿를 설정해서 Lambda쪽에서

{

    "body": "email=email%40email.net&password=password&data=data",

    "params": {

        "path": {

            "email": "email@email.net"

        },

이런식으로 데이터가 들어옵니다.


로그인 부분이다 보니 해킹에 대해서 걱정이 됩니다.

apiGateway에서 정해놓은 contentType에만 반응하도록 크로스 설정을 했고,

클라이언트에서 id, pw를 post로 보내고,

cognito에서 데이터를 비교하고 해당값이 맞을시 db에서 데이터를 보내도록 하였는데도 

신경쓰지 못한 부분이 있을까 하여서 질문을 드립니다. 


 email부분은 파라미터로 url부분에서 받고잇는데 

password 부분도 파라미터로 해서 url에서 받아야할지,

지금처럼 body로 보내서 받아도 될지 궁금합니다. 


또 제가 신경써야 하는 보안 부분이 더 있을까요?




0
  • 답변 1

  • allinux
    1k
    2021-07-05 12:28:03

    ssl 적용했으면 스니핑에 대한 방지는 된겁니다. 

  • 로그인을 하시면 답변을 등록할 수 있습니다.