그냥 기록. 보안이 필요한 페이지에 접근 제한.

얼마 전에 파파존스에서 해킹사고가 있었대요.

그런데 이게 어이없게도 url에 다른 사람의 주문번호를 넣으면 다른사람의 정보가 바로 응답이 되어버리는, 그러니까 인증과정을 거치지 않았다는 거죠.

그래서 저도 만들고 있는 서비스에서 인증이 잘 작동하는지 한번 테스트해봤습니다.ㅎㅎ

사이트에서 로그인한 후 브라우저에서 http only 토큰으로 브라우저캐시에 저장해놓고 그걸 서버에 같이 보내서 인증을 받는건데요, 서로 다른 브라우저에서 같은 요청을 보냈을 때 인증 토큰이 필요하다면서 막히는 걸 보니 잘 작동하네욤. 이게 개발할 때 매번 실제 발급하고 유효한 토큰을 담아서 요청 디버깅 해야해서 번거롭긴 한데, 역시 꼼꼼히 잘 개발해야죠. 챙길 건 꼭 챙겨서.ㅎㅎ