안드로이드에서 웹뷰 제작 후 라이믹스와 연동을 해봤는데요..
아주 심플하게 연동을 하려다보니 POST가 아닌 GET 으로 토큰값을 넘겨봤습니다.
작동이 아주 잘 되긴 하는데...
GET으로 넘겼을때 문제는 없을까요?
어차피 개인 소유의 핸드폰이라 별 문제는 없을것 같긴 합니다만...
꼭 POST로 넘겨야 하는지 궁금해서 문의 남깁니다.
| PHP | PHP 7.4 |
|---|---|
| CMS | Rhymix 2.x |
-
-
proc까지는 가지않고
첫 가입이나 로그인 할때만 라이믹스로 전달해주면 모두 연결이 되도록 되어 있어서
로그인 페이지로만 토큰값을 GET으로 넘겨줬습니다.
이후엔 사라지는 거죠
아,,, 연동이란건 다른게 아니라 FCM 푸시알림 얘기입니다. -
라이믹스에서 제공해주는 api가 아니라 따로 모듈에서 구현하신거라면 get이던 post이던 상관없으나 post으로 요청할 경우 보안상으로 좀 더 안전하겠지요.
-
네에,, 저도 그렇게 알고 있어서 가급적 POST로 보낼까 했는데
그냥 GET으로 하니까 라이믹스에서는 input박스 한줄만 추가 하니까 되더군요.
그래서 그냥 쉽게쉽게 가려고;;;
차후에 POST 한번 살펴보기는 해야겠습니다.
답변 감사합니다.~ -
실제로 서버에 아이디, 비번, 토큰 등을 제출하는 액션은 POST가 아니라면 에러가 날 것입니다.
그러나 로그인 페이지를 불러오는 단계에서 GET으로 토큰을 넘기고,
(예를 들어 URL이 act=dispMemberLoginForm&token=12345678abcd가 되는 식)
그걸 스킨에서 받아서 <input type="hidden">에 담아주는 방식으로 구현하셨다면 정상 작동하겠지요.
로그인 페이지는 당연히 GET으로 보는 것이니까요.
GET 방식의 가장 큰 단점은 서버 로그나 리퍼러 등에 토큰값이 그대로 노출된다는 점입니다.
예를 들어 GET 방식으로 로그인 페이지에 토큰을 넘겼다가, 사용자가 로그인하지 않고 다른 페이지로 이동하면
리퍼러를 통해 토큰값이 노출되거나, 다른 회원메뉴의 URL에도 토큰값이 붙어버리는 수가 있습니다.
최악의 경우, 임의의 토큰값을 붙인 로그인 페이지 링크를 생성하여 다른 사람이 클릭하도록 하면
다른 회원의 계정에 자신의 기기를 등록하여 계정을 몰래 보는 것도 가능합니다.
그래서 비번, 토큰값 등 보안상 민감한 내용은 POST로 전송할 것을 권장하는 것입니다.
웹뷰 앱이라면 어떻게든 로그인 페이지에 토큰값을 넘겨야 할 텐데, 로그인 페이지를 POST로 볼 수는 없으니
GET 변수가 아닌 헤더로 넘기도록 하는 방법도 있겠습니다.
헤더는 리퍼러에 노출되거나 다른 메뉴 주소에 영향을 주지 않고,
게시물 내의 링크 등을 통해 쉽게 변조할 수도 없으므로 GET 변수보다 안전합니다.
-
아 그렇군요.
이왕 하는거 헤더 방식으로 수정해봐야겠습니다. 감사합니다. -
혹시 웹뷰에서 헤더로 넘기는 방법을 혹시 찾으신 것 있으신가요?
-
아,, 아직 헤더로는 해결 못했습니다.
URL을 인텐트로만 띄우다보니 헤더정보를 서버로 넘기는 방법을 찾지를 못하고 있습니다.
제가 아직 전반적으로 실력이 부족해서인것 같습니다.
일단은 인텐트에 GET달아서 넘기고 있습니다.
잘 되고 있어서 그냥 천천히 알아보려구요. ^^
proc로 시작되는 모든 연동에 쓰이는 액션들은 get보다는 post를 쓰는것이 좋습니다.