login_check.php 에 goto_url 에 멤버아이디를 넣으면 보안에 문제가생길까요?

login_check.php 에 goto_url 에 멤버아이디를 넣으면 보안에 문제가생길까요?

QA

login_check.php 에 goto_url 에 멤버아이디를 넣으면 보안에 문제가생길까요?

본문

안녕하세요?

 

하이브리드앱을 제작중인데요.

 

보통은 네이티브형태로 서버에 계정정보를 전달해서 쿠키를 셋팅하곤했는데요.

 

네이티브 로그인방식이 아닌 웹에서 로그인만 하는형태로 제작되게돼었습니다.

 

어떤페이지에서든 로그인시도를 하면 login_check.php 문서를 요청하잖아요?

 

그래서 거기에 멤버아이디를 ?=mb_id = "aaa" 이런식으로 주소를 변환하려고하는데요.

 

그럼 안드로이드 웹뷰에서 위주소를 필터링해서 멤벼변수가 있을때 해당멤버로 인식하려고하거든요.

 

3732293504_1516669124.9039.png

 

정상적으로 로그인이 됬을때만 나오는 상황인데..

 

이 추가 소스로인해서 보안에 문제가 생길지 걱정이되서요..

 

안드로이드<->자바스크립트 메서드 통신은 할줄아는데..

 

로그인시점에 안드로이드함수를 호출하는 시점을 찾기가힘들어서 위와같은형태로 시도하려고하거든요

 

 

 

 

 

 

이 질문에 댓글 쓰기 :

답변 3

로그인시 php session id를 get으로 던져주고 앱에서 session id 확인시 서버에 확인요청하고 ok 떨어지면 로그인으로 인정하는 방식이 괜찮을거같네요

단순하게 mb_id를 그대로 매개변수로 전달하는건 너무 위험하지 않을까요?

 

답변주셔서감사드립니다. 일단 테스트용으로 위와같이 처리해서 쓰고있긴한데..
다른좋은방법이있을까요?
네이티브 로그인방식은 안되는 전제로요.
즉 앱자체에서 로그인을 별도로 요구하지않는 전제입니다. 온리 웹페이지에서만 로그인/로그아웃이 처리되야합니다.

아이디만 파라메터로 왔다갔다 하는 거라면.. 웹뷰에서는 별 문제는 없어 보입니다만..

날라다니는게 보이는게 싫다면 헤더에 싫어어 주고 받으시면 됩니다.

답변을 작성하시기 전에 로그인 해주세요.
전체 51
QA 내용 검색

회원로그인

(주)에스아이알소프트 / 대표:홍석명 / (06211) 서울특별시 강남구 역삼동 707-34 한신인터밸리24 서관 1404호 / E-Mail: admin@sir.kr
사업자등록번호: 217-81-36347 / 통신판매업신고번호:2014-서울강남-02098호 / 개인정보보호책임자:김민섭(minsup@sir.kr)
© SIRSOFT