<aside> ▪️ 2023. 11. 01 (화) 오후 0시 00분~오후 0시 - 000 멘토님

</aside>

1️⃣ 프로젝트 현황 공유

<aside> 💡 프로젝트 매니징을 위해 사용 언어, 역할 분담, 프로젝트 진행 현황 등을 우선적으로 공유해주세요

✔️ 원활한 멘토링을 위해 미리 작성해주시면 감사드리겠습니다❗ ✔️ 필요시 이미지/링크/파일 등을 활용해도 좋습니다. ✔️ 멘토링 종료 후, 해당 템플릿을 수정/삭제 하지 말아주세요. 🚫

</aside>

<aside> ▪️ 프로젝트 깃허브 링크 https://github.com/Kernel360/f1-Orury-Backend (백엔드) https://github.com/Kernel360/f1-Orury-Client (프론트엔드_Client) https://github.com/Kernel360/f1-Orury-Admin (프론트엔드_Admin)

</aside>

2️⃣ 멘토링 요청사항

<aside> 💡 ✔️ 질문 내용이나 갯수에는 제한이 없습니다:) ✔️ 효과적인 멘토링을 위해 히스토리, 요청사항 등을 최대한 상세하게 작성해주세요.

</aside>

• 질문 1

  로그인 이후 서버로부터 받은 Access Token, Refresh Token을 쿠키에 저장하는 과정에서, crypto-js 라이브러리를 통해 전달받은 jwt 토큰 값을 AES 방식으로 암호화 과정을 거친 후 저장하는 방식으로 구현을 했습니다. (추후 사용할 때 복호화)

  물론 100% 완벽한 보안은 없지만 cookie의 기본 option들로도 (HTTP Only, secure 등) 충분한 보안 강화를 이루어낼 수 있다고도 생각이 드는데, 현업에서는 cookie에 값을 저장하게 될 때 필수적으로 cookie options 이외에 암호화 작업을 진행하는 지 궁금합니다.

• 답변 1

  • Token이나 session을 사용하여 서버와 보안에 민감한 데이터를 전달하는 일이 많죠. 이 때 대부분의 경우에 클라이언트에서는 따로 암호화 과정을 거치지 않고 서버에서만 암호화 과정이 수행되는데요. 이런 방식을 택한 이유는 아래와 같습니다.
    • 클라이언트에서 수행되는 암호화는 여러 문제가 있습니다.
      • 클라이언트의 모든 소스는 외부로 노출되어 사용자가 알 수 있기 때문에, 같은 이유로 암호화 과정도 사용자가 알 수 있어 큰 의미가 없습니다.
      • 같은 이유로 암호화 키등은 서버에서 안전하게 관리하는 것이 좋습니다.
      • 클라이언트 자원은 모든 사용자마다 다르며 이에 의해 암호화를 클라이언트에서 적용하는 것은 예상치 못한 결과가 있을 수 있습니다.
    • HTTPS 방식을 사용하여 소통하면 패킷 데이터 자체가 암호화되니 패킷에 대한 걱정도 줄어듭니다.(cookie 의 Secure 옵션이 이와 연관이 있습니다.)
      • 즉, 서버에서만 암호화를 처리해도 네트워크 보안이 적용되어 이미 이중 암호화 상태입니다.
    • 다중 암호화는 딜레이를 만들 수 있습니다.
  • 현업에서도 클라이언트에서 추가로 암호화를 수행하는 경우는 보지 못했습니다

• 질문2

  궁극적으로 스토어에 출시할 수 있는 모바일 애플리케이션을 만드는 것이 목표입니다.

  따라서 PWA 또는 React-Web-View 를 통해 현재 프로젝트 기반으로 모바일 애플리케이션을 제작하려고 하는데, 혹시 멘토님은 두 방식 중 어느 방식을 사용해보셨는 지, 혹은 특정 방식을 추천하신다면 어떤 방식을 추천하시는 지 궁금합니다.

• 질문3

• 질문4

• 질문5

• 질문6