피드로 돌아가기
Dev.toSecurity
원문 읽기
Secret Key 기반 HMAC 적용을 통한 API 메시지 무결성 및 인증 강화
Um resumo sobre o padrão de segurança HMAC
AI 요약
Context
Base64 인코딩만 사용한 단순 Token 방식의 취약성으로 인한 데이터 변조 위험 존재. 클라이언트가 Payload를 임의로 수정하여 시스템을 기만할 수 있는 보안 허점 발생.
Technical Solution
- Secret Key와 Hash Function을 결합한 HMAC 구조 설계를 통한 메시지 무결성 보장
- SHA-256 알고리즘 기반의 Signature 생성으로 데이터 변조 시 해시값 불일치 유도
- Payload와 Secret Key를 조합한 단방향 암호화 적용으로 인증 주체 식별 가능
- 서버 측에서의 재계산 및 hash_equals 함수 사용을 통한 Timing Attack 방어
- 데이터 전송 시 Payload에 Signature를 포함하여 수신 측의 즉각적인 유효성 검증 구현
실천 포인트
1. 단순 인코딩과 암호화를 구분하여 설계했는지 확인
2. Secret Key의 안전한 보관 및 주기적인 Rotation 전략 수립
3. 비교 연산 시 Constant-time comparison 함수를 사용하여 Timing Attack 차단
4. Payload 내 만료 시간(exp)을 포함하여 Replay Attack 방지책 마련