피드로 돌아가기
Um resumo sobre o padrão de segurança HMAC
Dev.toDev.to
Security

Secret Key 기반 HMAC 적용을 통한 API 메시지 무결성 및 인증 강화

Um resumo sobre o padrão de segurança HMAC

Determinado 962026년 6월 12일1beginner

Context

Base64 인코딩만 사용한 단순 Token 방식의 취약성으로 인한 데이터 변조 위험 존재. 클라이언트가 Payload를 임의로 수정하여 시스템을 기만할 수 있는 보안 허점 발생.

Technical Solution

  • Secret Key와 Hash Function을 결합한 HMAC 구조 설계를 통한 메시지 무결성 보장
  • SHA-256 알고리즘 기반의 Signature 생성으로 데이터 변조 시 해시값 불일치 유도
  • Payload와 Secret Key를 조합한 단방향 암호화 적용으로 인증 주체 식별 가능
  • 서버 측에서의 재계산 및 hash_equals 함수 사용을 통한 Timing Attack 방어
  • 데이터 전송 시 Payload에 Signature를 포함하여 수신 측의 즉각적인 유효성 검증 구현

1. 단순 인코딩과 암호화를 구분하여 설계했는지 확인

2. Secret Key의 안전한 보관 및 주기적인 Rotation 전략 수립

3. 비교 연산 시 Constant-time comparison 함수를 사용하여 Timing Attack 차단

4. Payload 내 만료 시간(exp)을 포함하여 Replay Attack 방지책 마련

원문 읽기