▲neo 2달전 | parent | favorite | on: GN⁺: 코펜하겐 북: 웹 애플리케이션에서 인증 구현을 위한 일반 지침(thecopenhagenbook.com)Hacker News 의견 Lucia 라이브러리의 저자가 더 이상 Lucia가 인증 구현에 적합하지 않다고 느껴, 이를 대체할 가이드 시리즈를 발표함 초기 가이드 미리보기를 제공하며, 읽기 즐거웠고 The Copenhagen Book과 잘 어울림 보안 리소스의 90%가 비전문가에게는 이해하기 어렵지만, 이 가이드는 명확하고 간결하며 실행 가능함 타원 곡선에 대한 부분은 여전히 이해하기 어려움 많은 보안 조언이 난해하고 때로는 터무니없게 느껴지지만, 이 가이드는 신선하고 이해하기 쉬운 조언을 제공함 JWT에 대한 섹션이 추가되면 좋겠음 "auth"가 인증(authn)인지 권한(authz)인지 명확히 해주면 좋겠음 인증을 의미하는 것 같음 UUIDv4가 많은 엔트로피를 가지고 있지만, 암호학적으로 안전하지 않을 수 있다는 점을 언급한 것이 인상적임 대부분의 애플리케이션에는 문제가 없지만, 인식할 필요가 있음 비밀번호는 최소 8자 이상이어야 하며, zxcvbn 같은 라이브러리를 사용해 약한 비밀번호를 확인해야 함 고보안 사이트에는 좋지만, 일회성 계정에 긴 비밀번호를 생성하는 것은 번거로움 "Copenhagen Book"이라는 이름의 이유를 아는 사람 있음? 한 번만 인증을 구현하면 어디서든 사용할 수 있음 웹사이트가 "로그아웃할 때까지 세션이 만료되지 않도록" 선택할 수 있는 옵션을 제공했으면 좋겠음 GitHub의 세션 만료와 2FA가 불편하여 Gitea로 이동함 보안 모델이 유연하지 않으면 고객을 잃을 수 있음 훌륭한 가이드임, 감사함
Hacker News 의견
Lucia 라이브러리의 저자가 더 이상 Lucia가 인증 구현에 적합하지 않다고 느껴, 이를 대체할 가이드 시리즈를 발표함
보안 리소스의 90%가 비전문가에게는 이해하기 어렵지만, 이 가이드는 명확하고 간결하며 실행 가능함
많은 보안 조언이 난해하고 때로는 터무니없게 느껴지지만, 이 가이드는 신선하고 이해하기 쉬운 조언을 제공함
"auth"가 인증(authn)인지 권한(authz)인지 명확히 해주면 좋겠음
UUIDv4가 많은 엔트로피를 가지고 있지만, 암호학적으로 안전하지 않을 수 있다는 점을 언급한 것이 인상적임
비밀번호는 최소 8자 이상이어야 하며, zxcvbn 같은 라이브러리를 사용해 약한 비밀번호를 확인해야 함
"Copenhagen Book"이라는 이름의 이유를 아는 사람 있음?
한 번만 인증을 구현하면 어디서든 사용할 수 있음
웹사이트가 "로그아웃할 때까지 세션이 만료되지 않도록" 선택할 수 있는 옵션을 제공했으면 좋겠음
훌륭한 가이드임, 감사함