java 중요정보 평문 노출 대응방안 문의드립니다.

인증 + 인가 를 추가해야죠!

​

https://aabbcc.co.kr/ins/app/selectperson.do?appnum=2017

​

/ins/app/selectperson.do

API로 접근할때,

컨트롤러에서 내가 인증한 사용자가 맞으면, 인가해주고 하시면 될것같습니다.

​

간단하게 구현 하자면

가정 : 계정은 관리자와 일반 사용자가 있다.

1. 유저가 웹서버에 접속 시, 사용자별 고유의 세션쿠키를 부여함.

2. 사용자가 로그인에 성공할시, 해당 세션쿠키를 통해, 서버의 세션에 key,value로 rule, 1(admin) or 2(user)를 저장한다.

2. 로그인을 제외한 api에 접근할때 현재 서버에 접근된 유저의 세션쿠키를 통해 서버에 세션을 확인해, rule이 1이면 해당 api에 대한 요청을 승인, 2이면 실패

​

이런식으로 구현하면 될것같습니다. 위 와같은 방법은 제일 간단한방법이고, 실제 비지니스로직에 도입하기엔 적절하지않으니, 세션인증 한번 찾아보시는것이 좋아보입니다.

​

---------------------------------------------------

질문의도를 다시 한번보니 "브라우저 주소창에 직접 주소를 쳐 요청을 했을때" 안보이시는게 목적이면 단순히 요청메소드를 GET -> POST로 바꿔주시고 서버에서도 PostMapping을 사용하시면 됩니다. 브라우저 주소창을 통해 요청하는건 GET 요청을 하기때문입니다.

안녕하세요~ 아이티윌 부산 교육센터 입니다!

​

https://aabbcc.co.kr/ins/app/selectperson.do?appnum=2017

​

이라고 웹상해서 입력하면 해당 개인정보가 그대로 화면에 노출되게 됩니다.

이를 수정하고자 하는데 어느 부분을 어떻게 수정해야 하는지 감이 잡히지 않아 문의 드립니다.

​

​

=> 개인정보를 화면에 노출을 하지 않도록 하려면 여러가지 동작으로 처리 가능한데 가장 간단하게는

정보를 출력하는 뷰(JSP/HTML등..)페이지에서 숨겨졌으면 하는 정보를 출력하지 않으면 됩니다.

그러면 별다른 코드 수정 없이 진행이 가능합니다.

그게 아니라면 아에 abcService.selectp(vo) 여기 동작에서 필요한 정보만(개인정보를 제외한) 정보만 받아 올수 있도록 처리 쿼리구문을 변경 하시면 됩니다!

​

​

​