로그인 관련 질문드립니다.(상초보)

Question

안드로이드 네이티브 앱에서 로그인을 위해 id/pw 정보를 서버에서 확인하여 로그인을 하게 된다고 하면요,

제 생각에는 네이티브이기 때문에 웹쪽의 세션을 못쓰게 되지 않을까 싶은데요, 만약 제 생각이 맞다면 서버에 적당한 url 접근을 하게 되면 데이터를 긁어가는건 어렵지 않기때문에 보안 등의 조치가 궁금합니다.

안드로이드에서 네이티브 앱을 사용할때 웹서버나 WAS에서는 무슨 방법으로 로그인 이후의 브라우저를 통한 URL접근에 대해 보안/인증을 보장해주나요?

고수님들 답변 부탁드려요 ㅠ_ㅠ

Comments

네이티브 앱인데 브라우저를 이용한 URL접근이란 용어를 쓰셔서 헷갈리는데요
로그인은 앱으로 하고 접근을 브라우저로 하는 경우인건가요? 브라우저가 다른 브라우저앱을 지칭하는게 맞나요?

---

네이티브 앱을 말씀드린게 맞고요,
그와는 별개로 네이티브 앱이 통신하는 웹서버에 대해 데이터를 받을 수 있는 url 로 웹브라우저 접속시의 보안처리 사항에 대해 문의드린 거였습니다.

Answer 1

http 인증에는 세션, http authentication이나 OAuth 등등을 사용하죠. 각각 검색해보시면 되는데,

네이티브 앱에서도 웹에서와 똑같이 위 방법들 그대로 사용합니다. 웹과 다르지 않아요. 물론 세션도 사용할 수 있고요.

위의 세가지 다 디테일이나 보안정도는 다르지만 기본 원리는 비슷한데요,

로그인 시에 서버에서 응답에 키값을 발급하면

클라이언트에서 그 키값을 가지고 있다가 요청 보낼 때 헤더의 미리 정해진 키에 실어보내고,

서버에서는 이 키값을 가지고 사용자를 식별하는거죠.

키값이 없거나 유효하지 않으면 부정한 접근이라고 판단하면 됩니다.