이건 그냥 개인적인 생각
1. 서버에서 현재 millisecond값을 value로 하여 authKey를 생성, 유저아이디를 키로 authKey를 메모리에 저장하고 클라로 전송
2. 클라이언트는 받은 authKey를 가지고 signature를 생성한뒤 서버로 (signature, nonce, 메세지) 전송
- nonce 는 클라이언트의 millisecond와 같은 값을 사용
- signature 생성 : HMACSHA1(authKey, nonce + 메세지)
3. 서버는 받은 nonce와 메세지를 이용해 서버에 저장된 authKey로 signature를 생성, 클라로부터 받은 signature와 일치하는지 체크
'Security' 카테고리의 다른 글
| /etc/passwd 내용 노출 (0) | 2015.09.03 |
|---|