Basic 방식에서 저장하는 것은
사용자 ID와 암호화 되지 않은 사용자 비밀번호입니다.
이것은 언제든지, REQUEST에서 해더로 누구나 아무곳에서나
서버로 던져줄 수 있는 것입니다.
문제는 사용자 비밀번호가 정말 맞는지를 확인하기 위해서,
RESPONSE에서 디비에 저장된 비밀번호와 확인하는 작업을 거쳐야합니다.
이것 없이, 그냥 REMOTE_USER 값이 있으니, 인증이 되었다고 생각하면
문제가 심각해지겠지요.
결국에는 매번 REQUEST 마다 디비서버의 인증이 필요한 샘이지요.
>>정재익 님께서 쓰시길<<
:: 일반적으로 기본인증 방식을 RDBMS 로 사용해도 크게 문제 될 것 같지는 않습니다. Keep alive 방식을
:: 사용하는 경우 접속한 웹브라우저가 종료하지 않는한은 그 정보가 REMOTE_USER 환경변수에 저장되어
:: 있기 때문에 굳이 재인증을 거치지 않습니다. 물론 이것은 잘못하면 심각한 보안상의 문제를 야기할 수
:: 있습니다. 크게 보안이 문제 되지 않는 사이트에서만 이용하셔야 합니다. 만약 보안이 문제가 되는 경
:: 우라면 당연히 session 인증 방식을 사용하셔야 합니다. 그래야 시스템 로딩을 많이 줄일수 있습니다.
::
|