웹 서비스 보안의 인증

인증 프로세스는 특정한 컨텍스트에서 클라이언트가 유효한지 판별합니다. 클라이언트는 일반 사용자, 머신 또는 애플리케이션일 수 있습니다.

인증의 목적은 사용자를 고유하게 식별하는 데 필요한 모든 정보를 수집하는 것입니다. 이러한 정보로는 식별할 사용자 이름과 해당 ID를 검증하기 위한 비밀번호가 포함됩니다.

웹 서비스 보안을 설정하기 위해 독립형 보안 토큰(SAST)을 추가하여 서비스의 신빙성을 보장할 수 있습니다. 웹 서비스 보안 및 WebSphere® Application Server Toolkit을 사용한 SAST 구현 방법은 아래 관련 링크에서 제공되는 독립형 보안 토큰 마법사 태스크를 참조하십시오. 이 마법사는 사용자 토큰을 웹 서비스 서버로 전송하는 기본 인증 방법 중 하나를 실행하는 필수 단계를 안내합니다. 서버는 토큰에서 사용자 이름과 비밀번호를 추출하여 사용자 이름과 비밀번호 조합이 유효한지 검증합니다. 이 검증이 완료된 후에만 서버가 메시지를 승인하여 처리합니다. 이러한 ID 어설션 방법을 기본 인증이라고 합니다.

인증 절차가 없는 웹 서비스의 보안 위험

인증 절차가 없으면 모든 사용자가 서버에 메시지를 전송하고 서버에서 해당 메시지를 승인하여 처리하게 하는 권한을 갖습니다. 인증되지 않은 웹 서비스의 가장 큰 보안 위협은 위조입니다. 웹 서비스에 인증 절차가 없으면, 공격자가 수정된 SOAP 메시지를 서비스 제공자에게 전송할 수 있는 기회를 갖게 됩니다. 이러한 메시지는 기밀 정보에 액세스하거나 서버에서 명령(뱅킹 시스템의 경우 계좌 출금 명령 등)을 실행하는 데 사용될 수 있습니다.


피드백