login_check.php 에 goto_url 에 멤버아이디를 넣으면 보안에 문제가생길까요?
본문
안녕하세요?
하이브리드앱을 제작중인데요.
보통은 네이티브형태로 서버에 계정정보를 전달해서 쿠키를 셋팅하곤했는데요.
네이티브 로그인방식이 아닌 웹에서 로그인만 하는형태로 제작되게돼었습니다.
어떤페이지에서든 로그인시도를 하면 login_check.php 문서를 요청하잖아요?
그래서 거기에 멤버아이디를 ?=mb_id = "aaa" 이런식으로 주소를 변환하려고하는데요.
그럼 안드로이드 웹뷰에서 위주소를 필터링해서 멤벼변수가 있을때 해당멤버로 인식하려고하거든요.
정상적으로 로그인이 됬을때만 나오는 상황인데..
이 추가 소스로인해서 보안에 문제가 생길지 걱정이되서요..
안드로이드<->자바스크립트 메서드 통신은 할줄아는데..
로그인시점에 안드로이드함수를 호출하는 시점을 찾기가힘들어서 위와같은형태로 시도하려고하거든요
답변 3
로그인시 php session id를 get으로 던져주고 앱에서 session id 확인시 서버에 확인요청하고 ok 떨어지면 로그인으로 인정하는 방식이 괜찮을거같네요
세션이라.. 깊게 고민해보겠습니다.. 좋은방법주셔서감사합니다.
단순하게 mb_id를 그대로 매개변수로 전달하는건 너무 위험하지 않을까요?
답변주셔서감사드립니다. 일단 테스트용으로 위와같이 처리해서 쓰고있긴한데..
다른좋은방법이있을까요?
네이티브 로그인방식은 안되는 전제로요.
즉 앱자체에서 로그인을 별도로 요구하지않는 전제입니다. 온리 웹페이지에서만 로그인/로그아웃이 처리되야합니다.
아이디만 파라메터로 왔다갔다 하는 거라면.. 웹뷰에서는 별 문제는 없어 보입니다만..
날라다니는게 보이는게 싫다면 헤더에 싫어어 주고 받으시면 됩니다.
헤더라. 생각지 못했네요 감사합니다.
