SlideShare una empresa de Scribd logo

Flask, Redis, Retrofit을 이용한 Android 로그인 서비스 구현하기

Manjong Han
Manjong Han

Python Flask, Redis, Retrofit을 이용해서 Android 어플리케이션과 서버사이드 로그인 서비스를 구현해봅니다.

Software
1 de 24
Descargar para leer sin conexión
Flask, Redis, Retrofit을 이용한 Android 로그인 서비스 구현하기 2015.01.15 이화앱센터 안드로이드팀장 한만종
로그인이란? Logging in or signing in or on is the process by which individual access to computer system is controlled by identifying and authenticating the user through the credentials presented by the user. Wikipedia
Authentication? Authorization? 인증(authentication)은 자신이 누구라고 주장하는 사람을 확인하 는 절차이다. 권한부여(authorization)는 가고싶은 곳으로 가도록 혹은 원하는 정보를 얻도록 허용하는 과정이다. httpd.apache.org
로그인 구현 이렇게?? • “아이디는 사용자를 구분하는 누구나 알 수 있는 문자열.” • “비밀번호는 안보이게 자주 쓰이는 MD5 암호화해서 보내자.” • “DB에 저장된 아이디와 암호화된 비밀번호를 비교하면 되겠지.” • “HTTP POST 방식은 비밀스럽게 통신하는 방식이야.” • “로그인을 하고나면 로그아웃하기 전까지 로그인한 것으로 간주.”
로그인 구현 이렇게?? • “아이디는 사용자를 구분하는 누구나 알 수 있는 문자열.” • “비밀번호는 안보이게 자주 쓰이는 MD5 암호화해서 보내자.” • “DB에 저장된 아이디와 암호화된 비밀번호를 비교하면 되겠지.” • “HTTP POST 방식은 비밀스럽게 통신하는 방식이야.” • “로그인을 하고나면 로그아웃하기 전까지 로그인한 것으로 간주.”
안전한 로그인 구현 조건 • 비밀번호를 포함한 개인정보는 전송 시 모두 암호화해야 한다. • 또한, HTTP 보다는 HTTPS(SSL)를 이용해서 통신한다. • HTTP POST는 GET과 비교해 파라미터들이 위치하는 곳이 다를 뿐 보안 과는 무관하다. (패킷스니핑) • MD5, SHA-1, SHA-256, SHA-512 등의 해싱은 무결성 인증을 위해 사용 하는 것이지 암호화 알고리즘이 아니다. (MD5, SHA-1은 무력화되었다.) • 로그인 성공은 사용자 “인증”을 완료했다는 것이며, 해당하는 “접근 권한” 을 부여한다는 것이다. 그러나 이 상태(세션)는 적절한 시기에 만료시켜야 한다.
안전한 로그인 구현 예제 • REST API 지향 • RSA 암호화를 통해 개인정보를 암호화 • secure한 cookie를 이용해 RSA 개인키 보관 • token과 REDIS를 이용한 session 관리
Flask, Redis, Retrofit • Python Flask: Django와 더불어 많이 사용되고 있는 Python 웹 프레임워크. Django는 Full-Stack 프레임워크인 반면에 Flask는 필요한 기능만 제공하는 Micro 프레임워크이다. • Redis: REmote DIctionary System의 약자로 메모리 기반의 Key/Value 자료구조 서버이다. • Retrofit: Square Inc.에서 개발한 Java용 네트워크 라이브러 리. Android 개발에서는 Volley 이후로 많이 쓰이고 있다.
Flask? http://127.0.0.1:5000/ 으로 접속 시 “Safety Login” 표시
Redis? “myKey”라는 키로 “myValue”라는 값을 얻을 수 있음
Retrofit? “/user/login”에 GET으로 요청해서 비동기로 응답받음
redis-py Python에서 Redis를 연결하는 인터페이스 클라이언트
서버사이드 API 설계 POST /api/user/signup: 회원가입 *편의상 DB 대신 상수를 이용한 점 양해바랍니다.
서버사이드 API 설계 GET /api/user/login: RSA 공개키 발급
서버사이드 API 설계 PUT /api/user/login: 로그인
서버사이드 API 설계 GET /api/user/profile: 사용자 프로필 조회
Android 클라이언트 접속 Retrofit을 이용한 서버사이드 API 인터페이스
Android 클라이언트 접속 SignupActivity: 회원가입 요청
Android 클라이언트 접속 LoginActivity: RSA 공개키 요청
Android 클라이언트 접속 LoginActivity: 공개키를 이용한 RSA 암호화
Android 클라이언트 접속 LoginActivity: 로그인 요청
안전한 로그인 구현 예제 지금까지 설명한 예제 소스코드를 다음에 공개했습니다. https://gitlab.com/ewhappcenter/safety-login.git
안전한 로그인 구현 예제 • 이 예제는 “예시”로서 간단한 구현체이다. 따라서 다음과 같은 문 제가 있으며, 실서비스에서 사용하는 것을 권장하지 않는다. 1. RSA 암호화를 해서 전송하더라도 중간자 공격에 취약하다. (SSL 연결 필요) 2. 전체 내용 자체를 RSA 암호화 하는 것만으로는 빠른 성능을 보장할 수 없다. (내용을 AES 암호화하고 AES 키를 RSA 암호화하는 방법을 추천)
감사합니다. 이화앱센터 안드로이드팀장 한만종 han@manjong.org

Recomendados

[D2] java 애플리케이션 트러블 슈팅 사례 & pinpoint
[D2] java 애플리케이션 트러블 슈팅 사례 & pinpoint [D2] java 애플리케이션 트러블 슈팅 사례 & pinpoint
[D2] java 애플리케이션 트러블 슈팅 사례 & pinpoint
NAVER D2
 
잘 알려지지 않은 숨은 진주, Winsock API - WSAPoll, Fast Loopback
잘 알려지지 않은 숨은 진주, Winsock API - WSAPoll, Fast Loopback잘 알려지지 않은 숨은 진주, Winsock API - WSAPoll, Fast Loopback
잘 알려지지 않은 숨은 진주, Winsock API - WSAPoll, Fast Loopback
흥배 최
 
twMVC#46_SQL Server 資料分析大躍進 Machine Learning Services
twMVC#46_SQL Server 資料分析大躍進 Machine Learning ServicestwMVC#46_SQL Server 資料分析大躍進 Machine Learning Services
twMVC#46_SQL Server 資料分析大躍進 Machine Learning Services
twMVC
 
[Modern Web 2016] 讓你的 PHP 開發流程再次潮起來
[Modern Web 2016] 讓你的 PHP 開發流程再次潮起來[Modern Web 2016] 讓你的 PHP 開發流程再次潮起來
[Modern Web 2016] 讓你的 PHP 開發流程再次潮起來
Shengyou Fan
 
Chunked encoding を使った高速化の考察
Chunked encoding を使った高速化の考察Chunked encoding を使った高速化の考察
Chunked encoding を使った高速化の考察
Yoshiki Shibukawa
 
みんな大好きJava gc入門 【前編】
みんな大好きJava gc入門 【前編】みんな大好きJava gc入門 【前編】
みんな大好きJava gc入門 【前編】
kouzirou tenkubashi
 
Pgday bdr 천정대
Pgday bdr 천정대Pgday bdr 천정대
Pgday bdr 천정대
PgDay.Seoul
 
[아이펀팩토리] 2018 데브데이 서버위더스 _04 리눅스 게임 서버 성능 분석
[아이펀팩토리] 2018 데브데이 서버위더스 _04 리눅스 게임 서버 성능 분석[아이펀팩토리] 2018 데브데이 서버위더스 _04 리눅스 게임 서버 성능 분석
[아이펀팩토리] 2018 데브데이 서버위더스 _04 리눅스 게임 서버 성능 분석
iFunFactory Inc.
 

Recomendados

[D2] java 애플리케이션 트러블 슈팅 사례 & pinpoint
[D2] java 애플리케이션 트러블 슈팅 사례 & pinpoint [D2] java 애플리케이션 트러블 슈팅 사례 & pinpoint
[D2] java 애플리케이션 트러블 슈팅 사례 & pinpoint
NAVER D2
 
잘 알려지지 않은 숨은 진주, Winsock API - WSAPoll, Fast Loopback
잘 알려지지 않은 숨은 진주, Winsock API - WSAPoll, Fast Loopback잘 알려지지 않은 숨은 진주, Winsock API - WSAPoll, Fast Loopback
잘 알려지지 않은 숨은 진주, Winsock API - WSAPoll, Fast Loopback
흥배 최
 
twMVC#46_SQL Server 資料分析大躍進 Machine Learning Services
twMVC#46_SQL Server 資料分析大躍進 Machine Learning ServicestwMVC#46_SQL Server 資料分析大躍進 Machine Learning Services
twMVC#46_SQL Server 資料分析大躍進 Machine Learning Services
twMVC
 
[Modern Web 2016] 讓你的 PHP 開發流程再次潮起來
[Modern Web 2016] 讓你的 PHP 開發流程再次潮起來[Modern Web 2016] 讓你的 PHP 開發流程再次潮起來
[Modern Web 2016] 讓你的 PHP 開發流程再次潮起來
Shengyou Fan
 
Chunked encoding を使った高速化の考察
Chunked encoding を使った高速化の考察Chunked encoding を使った高速化の考察
Chunked encoding を使った高速化の考察
Yoshiki Shibukawa
 
みんな大好きJava gc入門 【前編】
みんな大好きJava gc入門 【前編】みんな大好きJava gc入門 【前編】
みんな大好きJava gc入門 【前編】
kouzirou tenkubashi
 
Pgday bdr 천정대
Pgday bdr 천정대Pgday bdr 천정대
Pgday bdr 천정대
PgDay.Seoul
 
[아이펀팩토리] 2018 데브데이 서버위더스 _04 리눅스 게임 서버 성능 분석
[아이펀팩토리] 2018 데브데이 서버위더스 _04 리눅스 게임 서버 성능 분석[아이펀팩토리] 2018 데브데이 서버위더스 _04 리눅스 게임 서버 성능 분석
[아이펀팩토리] 2018 데브데이 서버위더스 _04 리눅스 게임 서버 성능 분석
iFunFactory Inc.
 
파이콘 한국 2019 - 파이썬으로 서버를 극한까지 끌어다 쓰기: Async I/O의 밑바닥
파이콘 한국 2019 - 파이썬으로 서버를 극한까지 끌어다 쓰기: Async I/O의 밑바닥파이콘 한국 2019 - 파이썬으로 서버를 극한까지 끌어다 쓰기: Async I/O의 밑바닥
파이콘 한국 2019 - 파이썬으로 서버를 극한까지 끌어다 쓰기: Async I/O의 밑바닥
Seomgi Han
 
あるmmapの話
あるmmapの話あるmmapの話
あるmmapの話
nullnilaki
 
[H3 2012] 오픈 소스로 구현하는 실시간 데이터 처리를 위한 CEP
[H3 2012] 오픈 소스로 구현하는 실시간 데이터 처리를 위한 CEP[H3 2012] 오픈 소스로 구현하는 실시간 데이터 처리를 위한 CEP
[H3 2012] 오픈 소스로 구현하는 실시간 데이터 처리를 위한 CEP
KTH, 케이티하이텔
 
스프링 부트와 로깅
스프링 부트와 로깅스프링 부트와 로깅
스프링 부트와 로깅
Keesun Baik
 
쿠키런: 킹덤 대규모 인프라 및 서버 운영 사례 공유 [데브시스터즈 - 레벨 200] - 발표자: 용찬호, R&D 엔지니어, 데브시스터즈 ...
쿠키런: 킹덤 대규모 인프라 및 서버 운영 사례 공유 [데브시스터즈 - 레벨 200] - 발표자: 용찬호, R&D 엔지니어, 데브시스터즈 ...쿠키런: 킹덤 대규모 인프라 및 서버 운영 사례 공유 [데브시스터즈 - 레벨 200] - 발표자: 용찬호, R&D 엔지니어, 데브시스터즈 ...
쿠키런: 킹덤 대규모 인프라 및 서버 운영 사례 공유 [데브시스터즈 - 레벨 200] - 발표자: 용찬호, R&D 엔지니어, 데브시스터즈 ...
Amazon Web Services Korea
 
[전득진_22년4월] AI_ML담당_Tech_seminar-emart.pdf
[전득진_22년4월] AI_ML담당_Tech_seminar-emart.pdf[전득진_22년4월] AI_ML담당_Tech_seminar-emart.pdf
[전득진_22년4월] AI_ML담당_Tech_seminar-emart.pdf
DeukJin Jeon
 
소셜게임 서버 개발 관점에서 본 Node.js의 장단점과 대안
소셜게임 서버 개발 관점에서 본 Node.js의 장단점과 대안소셜게임 서버 개발 관점에서 본 Node.js의 장단점과 대안
소셜게임 서버 개발 관점에서 본 Node.js의 장단점과 대안
Jeongsang Baek
 
모바일 메신저 아키텍쳐 소개
모바일 메신저 아키텍쳐 소개모바일 메신저 아키텍쳐 소개
모바일 메신저 아키텍쳐 소개
Hyogi Jung
 
Mongodb 특징 분석
Mongodb 특징 분석Mongodb 특징 분석
Mongodb 특징 분석
Daeyong Shin
 
코딩 테스트 및 알고리즘 문제해결 공부 방법 (고려대학교 KUCC, 2022년 4월)
코딩 테스트 및 알고리즘 문제해결 공부 방법 (고려대학교 KUCC, 2022년 4월)코딩 테스트 및 알고리즘 문제해결 공부 방법 (고려대학교 KUCC, 2022년 4월)
코딩 테스트 및 알고리즘 문제해결 공부 방법 (고려대학교 KUCC, 2022년 4월)
Suhyun Park
 
Iocp advanced
Iocp advancedIocp advanced
Iocp advanced
Nam Hyeonuk
 
FIFA 온라인 3의 MongoDB 사용기
FIFA 온라인 3의 MongoDB 사용기FIFA 온라인 3의 MongoDB 사용기
FIFA 온라인 3의 MongoDB 사용기
Jongwon Kim
 
Windows Registered I/O (RIO) vs IOCP
Windows Registered I/O (RIO) vs IOCPWindows Registered I/O (RIO) vs IOCP
Windows Registered I/O (RIO) vs IOCP
Seungmo Koo
 
系統程式 -- 第 0 章
系統程式 -- 第 0 章系統程式 -- 第 0 章
系統程式 -- 第 0 章
鍾誠 陳鍾誠
 
コード品質を保つために心がけたいこと
コード品質を保つために心がけたいことコード品質を保つために心がけたいこと
コード品質を保つために心がけたいこと
Kentarou Takeda
 
쿠키런 1년, 서버개발 분투기
쿠키런 1년, 서버개발 분투기쿠키런 1년, 서버개발 분투기
쿠키런 1년, 서버개발 분투기
Brian Hong
 
검색엔진이 데이터를 다루는 법 김종민
검색엔진이 데이터를 다루는 법 김종민검색엔진이 데이터를 다루는 법 김종민
검색엔진이 데이터를 다루는 법 김종민
종민 김
 
Spark 의 핵심은 무엇인가? RDD! (RDD paper review)
Spark 의 핵심은 무엇인가? RDD! (RDD paper review)Spark 의 핵심은 무엇인가? RDD! (RDD paper review)
Spark 의 핵심은 무엇인가? RDD! (RDD paper review)
Yongho Ha
 
KorQuAD v2.0 소개
KorQuAD v2.0 소개KorQuAD v2.0 소개
KorQuAD v2.0 소개
LGCNSairesearch
 
C++ 프로젝트에 단위 테스트 도입하기
C++ 프로젝트에 단위 테스트 도입하기C++ 프로젝트에 단위 테스트 도입하기
C++ 프로젝트에 단위 테스트 도입하기
OnGameServer
 
안드로이드 DB, 서버 연동하기
안드로이드 DB, 서버 연동하기안드로이드 DB, 서버 연동하기
안드로이드 DB, 서버 연동하기
은아 정
 
[NEXT] Flask 로 Restful API 서버 만들기
[NEXT] Flask 로 Restful API 서버 만들기 [NEXT] Flask 로 Restful API 서버 만들기
[NEXT] Flask 로 Restful API 서버 만들기
YoungSu Son
 

Más contenido relacionado

La actualidad más candente

파이콘 한국 2019 - 파이썬으로 서버를 극한까지 끌어다 쓰기: Async I/O의 밑바닥
파이콘 한국 2019 - 파이썬으로 서버를 극한까지 끌어다 쓰기: Async I/O의 밑바닥파이콘 한국 2019 - 파이썬으로 서버를 극한까지 끌어다 쓰기: Async I/O의 밑바닥
파이콘 한국 2019 - 파이썬으로 서버를 극한까지 끌어다 쓰기: Async I/O의 밑바닥
Seomgi Han
 
쿠키런: 킹덤 대규모 인프라 및 서버 운영 사례 공유 [데브시스터즈 - 레벨 200] - 발표자: 용찬호, R&D 엔지니어, 데브시스터즈 ...
쿠키런: 킹덤 대규모 인프라 및 서버 운영 사례 공유 [데브시스터즈 - 레벨 200] - 발표자: 용찬호, R&D 엔지니어, 데브시스터즈 ...쿠키런: 킹덤 대규모 인프라 및 서버 운영 사례 공유 [데브시스터즈 - 레벨 200] - 발표자: 용찬호, R&D 엔지니어, 데브시스터즈 ...
쿠키런: 킹덤 대규모 인프라 및 서버 운영 사례 공유 [데브시스터즈 - 레벨 200] - 발표자: 용찬호, R&D 엔지니어, 데브시스터즈 ...
Amazon Web Services Korea
 
Mongodb 특징 분석
Mongodb 특징 분석Mongodb 특징 분석
Mongodb 특징 분석
Daeyong Shin
 
C++ 프로젝트에 단위 테스트 도입하기
C++ 프로젝트에 단위 테스트 도입하기C++ 프로젝트에 단위 테스트 도입하기
C++ 프로젝트에 단위 테스트 도입하기
OnGameServer
 

La actualidad más candente (20)

파이콘 한국 2019 - 파이썬으로 서버를 극한까지 끌어다 쓰기: Async I/O의 밑바닥
파이콘 한국 2019 - 파이썬으로 서버를 극한까지 끌어다 쓰기: Async I/O의 밑바닥파이콘 한국 2019 - 파이썬으로 서버를 극한까지 끌어다 쓰기: Async I/O의 밑바닥
파이콘 한국 2019 - 파이썬으로 서버를 극한까지 끌어다 쓰기: Async I/O의 밑바닥
 
あるmmapの話
あるmmapの話あるmmapの話
あるmmapの話
 
[H3 2012] 오픈 소스로 구현하는 실시간 데이터 처리를 위한 CEP
[H3 2012] 오픈 소스로 구현하는 실시간 데이터 처리를 위한 CEP[H3 2012] 오픈 소스로 구현하는 실시간 데이터 처리를 위한 CEP
[H3 2012] 오픈 소스로 구현하는 실시간 데이터 처리를 위한 CEP
 
스프링 부트와 로깅
스프링 부트와 로깅스프링 부트와 로깅
스프링 부트와 로깅
 
쿠키런: 킹덤 대규모 인프라 및 서버 운영 사례 공유 [데브시스터즈 - 레벨 200] - 발표자: 용찬호, R&D 엔지니어, 데브시스터즈 ...
쿠키런: 킹덤 대규모 인프라 및 서버 운영 사례 공유 [데브시스터즈 - 레벨 200] - 발표자: 용찬호, R&D 엔지니어, 데브시스터즈 ...쿠키런: 킹덤 대규모 인프라 및 서버 운영 사례 공유 [데브시스터즈 - 레벨 200] - 발표자: 용찬호, R&D 엔지니어, 데브시스터즈 ...
쿠키런: 킹덤 대규모 인프라 및 서버 운영 사례 공유 [데브시스터즈 - 레벨 200] - 발표자: 용찬호, R&D 엔지니어, 데브시스터즈 ...
 
[전득진_22년4월] AI_ML담당_Tech_seminar-emart.pdf
[전득진_22년4월] AI_ML담당_Tech_seminar-emart.pdf[전득진_22년4월] AI_ML담당_Tech_seminar-emart.pdf
[전득진_22년4월] AI_ML담당_Tech_seminar-emart.pdf
 
소셜게임 서버 개발 관점에서 본 Node.js의 장단점과 대안
소셜게임 서버 개발 관점에서 본 Node.js의 장단점과 대안소셜게임 서버 개발 관점에서 본 Node.js의 장단점과 대안
소셜게임 서버 개발 관점에서 본 Node.js의 장단점과 대안
 
모바일 메신저 아키텍쳐 소개
모바일 메신저 아키텍쳐 소개모바일 메신저 아키텍쳐 소개
모바일 메신저 아키텍쳐 소개
 
Mongodb 특징 분석
Mongodb 특징 분석Mongodb 특징 분석
Mongodb 특징 분석
 
코딩 테스트 및 알고리즘 문제해결 공부 방법 (고려대학교 KUCC, 2022년 4월)
코딩 테스트 및 알고리즘 문제해결 공부 방법 (고려대학교 KUCC, 2022년 4월)코딩 테스트 및 알고리즘 문제해결 공부 방법 (고려대학교 KUCC, 2022년 4월)
코딩 테스트 및 알고리즘 문제해결 공부 방법 (고려대학교 KUCC, 2022년 4월)
 
Iocp advanced
Iocp advancedIocp advanced
Iocp advanced
 
FIFA 온라인 3의 MongoDB 사용기
FIFA 온라인 3의 MongoDB 사용기FIFA 온라인 3의 MongoDB 사용기
FIFA 온라인 3의 MongoDB 사용기
 
Windows Registered I/O (RIO) vs IOCP
Windows Registered I/O (RIO) vs IOCPWindows Registered I/O (RIO) vs IOCP
Windows Registered I/O (RIO) vs IOCP
 
系統程式 -- 第 0 章
系統程式 -- 第 0 章系統程式 -- 第 0 章
系統程式 -- 第 0 章
 
コード品質を保つために心がけたいこと
コード品質を保つために心がけたいことコード品質を保つために心がけたいこと
コード品質を保つために心がけたいこと
 
쿠키런 1년, 서버개발 분투기
쿠키런 1년, 서버개발 분투기쿠키런 1년, 서버개발 분투기
쿠키런 1년, 서버개발 분투기
 
검색엔진이 데이터를 다루는 법 김종민
검색엔진이 데이터를 다루는 법 김종민검색엔진이 데이터를 다루는 법 김종민
검색엔진이 데이터를 다루는 법 김종민
 
Spark 의 핵심은 무엇인가? RDD! (RDD paper review)
Spark 의 핵심은 무엇인가? RDD! (RDD paper review)Spark 의 핵심은 무엇인가? RDD! (RDD paper review)
Spark 의 핵심은 무엇인가? RDD! (RDD paper review)
 
KorQuAD v2.0 소개
KorQuAD v2.0 소개KorQuAD v2.0 소개
KorQuAD v2.0 소개
 
C++ 프로젝트에 단위 테스트 도입하기
C++ 프로젝트에 단위 테스트 도입하기C++ 프로젝트에 단위 테스트 도입하기
C++ 프로젝트에 단위 테스트 도입하기
 

Destacado

Python과 flask 입문(1)
Python과 flask 입문(1)Python과 flask 입문(1)
Python과 flask 입문(1)
성천 이
 
Mongo db 시작하기
Mongo db 시작하기Mongo db 시작하기
Mongo db 시작하기
OnGameServer
 

Destacado (20)

안드로이드 DB, 서버 연동하기
안드로이드 DB, 서버 연동하기안드로이드 DB, 서버 연동하기
안드로이드 DB, 서버 연동하기
 
[NEXT] Flask 로 Restful API 서버 만들기
[NEXT] Flask 로 Restful API 서버 만들기 [NEXT] Flask 로 Restful API 서버 만들기
[NEXT] Flask 로 Restful API 서버 만들기
 
파이썬 플라스크로 배우는 웹프로그래밍 #1 (ABCD Foundation)
파이썬 플라스크로 배우는 웹프로그래밍 #1 (ABCD Foundation)파이썬 플라스크로 배우는 웹프로그래밍 #1 (ABCD Foundation)
파이썬 플라스크로 배우는 웹프로그래밍 #1 (ABCD Foundation)
 
리눅스 커널 디버거 KGDB/KDB
리눅스 커널 디버거 KGDB/KDB리눅스 커널 디버거 KGDB/KDB
리눅스 커널 디버거 KGDB/KDB
 
유니브북 출시부터 운영까지
유니브북 출시부터 운영까지유니브북 출시부터 운영까지
유니브북 출시부터 운영까지
 
파이썬 플라스크로 배우는 웹프로그래밍 #2 (ABCD)
파이썬 플라스크로 배우는 웹프로그래밍 #2 (ABCD)파이썬 플라스크로 배우는 웹프로그래밍 #2 (ABCD)
파이썬 플라스크로 배우는 웹프로그래밍 #2 (ABCD)
 
Android 5.0 & Material Design
Android 5.0 & Material DesignAndroid 5.0 & Material Design
Android 5.0 & Material Design
 
RESTful API 제대로 만들기
RESTful API 제대로 만들기RESTful API 제대로 만들기
RESTful API 제대로 만들기
 
About IssueTracker
About IssueTrackerAbout IssueTracker
About IssueTracker
 
gradle로 안드로이드 앱 빌드하기
gradle로 안드로이드 앱 빌드하기gradle로 안드로이드 앱 빌드하기
gradle로 안드로이드 앱 빌드하기
 
이것이 레디스다.
이것이 레디스다.이것이 레디스다.
이것이 레디스다.
 
Django, 저는 이렇게 씁니다.
Django, 저는 이렇게 씁니다.Django, 저는 이렇게 씁니다.
Django, 저는 이렇게 씁니다.
 
플라스크 템플릿
플라스크 템플릿플라스크 템플릿
플라스크 템플릿
 
Python과 flask 입문(1)
Python과 flask 입문(1)Python과 flask 입문(1)
Python과 flask 입문(1)
 
Mongo db 시작하기
Mongo db 시작하기Mongo db 시작하기
Mongo db 시작하기
 
Redis acc
Redis accRedis acc
Redis acc
 
[D2 오픈세미나]4.네이티브앱저장통신
[D2 오픈세미나]4.네이티브앱저장통신[D2 오픈세미나]4.네이티브앱저장통신
[D2 오픈세미나]4.네이티브앱저장통신
 
Compass first meetup
Compass first meetupCompass first meetup
Compass first meetup
 
[Td 2015]asp.net 5 깊게 파고들기(박용준)
[Td 2015]asp.net 5 깊게 파고들기(박용준)[Td 2015]asp.net 5 깊게 파고들기(박용준)
[Td 2015]asp.net 5 깊게 파고들기(박용준)
 
이제 온라인이다! 브라우저 안으로 들어온 Visual studio!
이제 온라인이다! 브라우저 안으로 들어온 Visual studio!이제 온라인이다! 브라우저 안으로 들어온 Visual studio!
이제 온라인이다! 브라우저 안으로 들어온 Visual studio!
 

Similar a Flask, Redis, Retrofit을 이용한 Android 로그인 서비스 구현하기

Amazon Cognito를 활용한 모바일 인증 및 보안, 자원 접근 제어 기법 - AWS Summit Seoul 2017
Amazon Cognito를 활용한 모바일 인증 및 보안, 자원 접근 제어 기법 - AWS Summit Seoul 2017Amazon Cognito를 활용한 모바일 인증 및 보안, 자원 접근 제어 기법 - AWS Summit Seoul 2017
Amazon Cognito를 활용한 모바일 인증 및 보안, 자원 접근 제어 기법 - AWS Summit Seoul 2017
Amazon Web Services Korea
 
모바일 게임과 앱을 위한 오픈소스 게임서버 엔진 프로젝트 CloudBread 프로젝트
모바일 게임과 앱을 위한 오픈소스 게임서버 엔진 프로젝트 CloudBread 프로젝트모바일 게임과 앱을 위한 오픈소스 게임서버 엔진 프로젝트 CloudBread 프로젝트
모바일 게임과 앱을 위한 오픈소스 게임서버 엔진 프로젝트 CloudBread 프로젝트
Dae Kim
 

Similar a Flask, Redis, Retrofit을 이용한 Android 로그인 서비스 구현하기 (20)

REST API 설계
REST API 설계REST API 설계
REST API 설계
 
게이트단의 보안
게이트단의 보안게이트단의 보안
게이트단의 보안
 
HTTPS를 이용한 챗봇 웹 어플리케이션
HTTPS를 이용한 챗봇 웹 어플리케이션HTTPS를 이용한 챗봇 웹 어플리케이션
HTTPS를 이용한 챗봇 웹 어플리케이션
 
(131102) #fitalk get windows logon password in memory dump
(131102) #fitalk get windows logon password in memory dump(131102) #fitalk get windows logon password in memory dump
(131102) #fitalk get windows logon password in memory dump
 
Packer, Terraform, Vault를 이용해 만드는 
재현 가능한 게임 인프라
Packer, Terraform, Vault를 이용해 만드는 
재현 가능한 게임 인프라Packer, Terraform, Vault를 이용해 만드는 
재현 가능한 게임 인프라
Packer, Terraform, Vault를 이용해 만드는 
재현 가능한 게임 인프라
 
web study 1day
web study 1dayweb study 1day
web study 1day
 
W3C HTML5 컨퍼런스 2020 - 웹 환경에서 블록체인 노드와 통신 및 신원인증 (DID)
W3C HTML5 컨퍼런스 2020 - 웹 환경에서 블록체인 노드와 통신 및 신원인증 (DID)W3C HTML5 컨퍼런스 2020 - 웹 환경에서 블록체인 노드와 통신 및 신원인증 (DID)
W3C HTML5 컨퍼런스 2020 - 웹 환경에서 블록체인 노드와 통신 및 신원인증 (DID)
 
Web hacking introduction
Web hacking introductionWeb hacking introduction
Web hacking introduction
 
[Pgday.Seoul 2018] PostgreSQL Authentication with FreeIPA
[Pgday.Seoul 2018] PostgreSQL Authentication with FreeIPA[Pgday.Seoul 2018] PostgreSQL Authentication with FreeIPA
[Pgday.Seoul 2018] PostgreSQL Authentication with FreeIPA
 
[IGC 2017] AWS 김필중 솔루션 아키텍트 - AWS 를 활용한 모바일 백엔드 개발
[IGC 2017] AWS 김필중 솔루션 아키텍트 - AWS 를 활용한 모바일 백엔드 개발[IGC 2017] AWS 김필중 솔루션 아키텍트 - AWS 를 활용한 모바일 백엔드 개발
[IGC 2017] AWS 김필중 솔루션 아키텍트 - AWS 를 활용한 모바일 백엔드 개발
 
Trusted Pass 소개서 2016_08_22
Trusted Pass 소개서 2016_08_22Trusted Pass 소개서 2016_08_22
Trusted Pass 소개서 2016_08_22
 
Amazon Cognito를 활용한 모바일 인증 및 보안, 자원 접근 제어 기법 - AWS Summit Seoul 2017
Amazon Cognito를 활용한 모바일 인증 및 보안, 자원 접근 제어 기법 - AWS Summit Seoul 2017Amazon Cognito를 활용한 모바일 인증 및 보안, 자원 접근 제어 기법 - AWS Summit Seoul 2017
Amazon Cognito를 활용한 모바일 인증 및 보안, 자원 접근 제어 기법 - AWS Summit Seoul 2017
 
이더리움 기초 스터디 (암호, 스토리지)
이더리움 기초 스터디 (암호, 스토리지)이더리움 기초 스터디 (암호, 스토리지)
이더리움 기초 스터디 (암호, 스토리지)
 
100.RED HAT SINGLE SIGN-ON
100.RED HAT SINGLE SIGN-ON100.RED HAT SINGLE SIGN-ON
100.RED HAT SINGLE SIGN-ON
 
API Management Reference Architecture
API Management Reference ArchitectureAPI Management Reference Architecture
API Management Reference Architecture
 
성공적인 게임 런칭을 위한 비밀의 레시피 #3
성공적인 게임 런칭을 위한 비밀의 레시피 #3성공적인 게임 런칭을 위한 비밀의 레시피 #3
성공적인 게임 런칭을 위한 비밀의 레시피 #3
 
HTTPS
HTTPSHTTPS
HTTPS
 
AWS Meetup 프리젠테이션.pdf
AWS Meetup 프리젠테이션.pdfAWS Meetup 프리젠테이션.pdf
AWS Meetup 프리젠테이션.pdf
 
모바일 게임과 앱을 위한 오픈소스 게임서버 엔진 프로젝트 CloudBread 프로젝트
모바일 게임과 앱을 위한 오픈소스 게임서버 엔진 프로젝트 CloudBread 프로젝트모바일 게임과 앱을 위한 오픈소스 게임서버 엔진 프로젝트 CloudBread 프로젝트
모바일 게임과 앱을 위한 오픈소스 게임서버 엔진 프로젝트 CloudBread 프로젝트
 
RED HAT SINGLE SIGN-ON
RED HAT SINGLE SIGN-ONRED HAT SINGLE SIGN-ON
RED HAT SINGLE SIGN-ON
 

Flask, Redis, Retrofit을 이용한 Android 로그인 서비스 구현하기

  • 1. Flask, Redis, Retrofit을 이용한 Android 로그인 서비스 구현하기 2015.01.15 이화앱센터 안드로이드팀장 한만종
  • 2. 로그인이란? Logging in or signing in or on is the process by which individual access to computer system is controlled by identifying and authenticating the user through the credentials presented by the user. Wikipedia
  • 3. Authentication? Authorization? 인증(authentication)은 자신이 누구라고 주장하는 사람을 확인하 는 절차이다. 권한부여(authorization)는 가고싶은 곳으로 가도록 혹은 원하는 정보를 얻도록 허용하는 과정이다. httpd.apache.org
  • 4. 로그인 구현 이렇게?? • “아이디는 사용자를 구분하는 누구나 알 수 있는 문자열.” • “비밀번호는 안보이게 자주 쓰이는 MD5 암호화해서 보내자.” • “DB에 저장된 아이디와 암호화된 비밀번호를 비교하면 되겠지.” • “HTTP POST 방식은 비밀스럽게 통신하는 방식이야.” • “로그인을 하고나면 로그아웃하기 전까지 로그인한 것으로 간주.”
  • 5. 로그인 구현 이렇게?? • “아이디는 사용자를 구분하는 누구나 알 수 있는 문자열.” • “비밀번호는 안보이게 자주 쓰이는 MD5 암호화해서 보내자.” • “DB에 저장된 아이디와 암호화된 비밀번호를 비교하면 되겠지.” • “HTTP POST 방식은 비밀스럽게 통신하는 방식이야.” • “로그인을 하고나면 로그아웃하기 전까지 로그인한 것으로 간주.”
  • 6. 안전한 로그인 구현 조건 • 비밀번호를 포함한 개인정보는 전송 시 모두 암호화해야 한다. • 또한, HTTP 보다는 HTTPS(SSL)를 이용해서 통신한다. • HTTP POST는 GET과 비교해 파라미터들이 위치하는 곳이 다를 뿐 보안 과는 무관하다. (패킷스니핑) • MD5, SHA-1, SHA-256, SHA-512 등의 해싱은 무결성 인증을 위해 사용 하는 것이지 암호화 알고리즘이 아니다. (MD5, SHA-1은 무력화되었다.) • 로그인 성공은 사용자 “인증”을 완료했다는 것이며, 해당하는 “접근 권한” 을 부여한다는 것이다. 그러나 이 상태(세션)는 적절한 시기에 만료시켜야 한다.
  • 7. 안전한 로그인 구현 예제 • REST API 지향 • RSA 암호화를 통해 개인정보를 암호화 • secure한 cookie를 이용해 RSA 개인키 보관 • token과 REDIS를 이용한 session 관리
  • 8. Flask, Redis, Retrofit • Python Flask: Django와 더불어 많이 사용되고 있는 Python 웹 프레임워크. Django는 Full-Stack 프레임워크인 반면에 Flask는 필요한 기능만 제공하는 Micro 프레임워크이다. • Redis: REmote DIctionary System의 약자로 메모리 기반의 Key/Value 자료구조 서버이다. • Retrofit: Square Inc.에서 개발한 Java용 네트워크 라이브러 리. Android 개발에서는 Volley 이후로 많이 쓰이고 있다.
  • 9. Flask? http://127.0.0.1:5000/ 으로 접속 시 “Safety Login” 표시
  • 12. redis-py Python에서 Redis를 연결하는 인터페이스 클라이언트
  • 13. 서버사이드 API 설계 POST /api/user/signup: 회원가입 *편의상 DB 대신 상수를 이용한 점 양해바랍니다.
  • 14. 서버사이드 API 설계 GET /api/user/login: RSA 공개키 발급
  • 15. 서버사이드 API 설계 PUT /api/user/login: 로그인
  • 16. 서버사이드 API 설계 GET /api/user/profile: 사용자 프로필 조회
  • 17. Android 클라이언트 접속 Retrofit을 이용한 서버사이드 API 인터페이스
  • 20. Android 클라이언트 접속 LoginActivity: 공개키를 이용한 RSA 암호화
  • 22. 안전한 로그인 구현 예제 지금까지 설명한 예제 소스코드를 다음에 공개했습니다. https://gitlab.com/ewhappcenter/safety-login.git
  • 23. 안전한 로그인 구현 예제 • 이 예제는 “예시”로서 간단한 구현체이다. 따라서 다음과 같은 문 제가 있으며, 실서비스에서 사용하는 것을 권장하지 않는다. 1. RSA 암호화를 해서 전송하더라도 중간자 공격에 취약하다. (SSL 연결 필요) 2. 전체 내용 자체를 RSA 암호화 하는 것만으로는 빠른 성능을 보장할 수 없다. (내용을 AES 암호화하고 AES 키를 RSA 암호화하는 방법을 추천)