Python Flask, Redis, Retrofit을 이용해서 Android 어플리케이션과 서버사이드 로그인 서비스를 구현해봅니다.

1. Flask, Redis, Retrofit을 이용한
Android 로그인 서비스 구현하기
2015.01.15
이화앱센터 안드로이드팀장 한만종

2. 로그인이란?
Logging in or signing in or on is the process by which
individual access to computer system is controlled by
identifying and authenticating the user through the
credentials presented by the user.
Wikipedia

3. Authentication? Authorization?
인증(authentication)은 자신이 누구라고 주장하는 사람을 확인하
는 절차이다. 권한부여(authorization)는 가고싶은 곳으로 가도록
혹은 원하는 정보를 얻도록 허용하는 과정이다.
httpd.apache.org

4. 로그인 구현 이렇게??
• “아이디는 사용자를 구분하는 누구나 알 수 있는 문자열.”
• “비밀번호는 안보이게 자주 쓰이는 MD5 암호화해서 보내자.”
• “DB에 저장된 아이디와 암호화된 비밀번호를 비교하면 되겠지.”
• “HTTP POST 방식은 비밀스럽게 통신하는 방식이야.”
• “로그인을 하고나면 로그아웃하기 전까지 로그인한 것으로 간주.”

5. 로그인 구현 이렇게??
• “아이디는 사용자를 구분하는 누구나 알 수 있는 문자열.”
• “비밀번호는 안보이게 자주 쓰이는 MD5 암호화해서 보내자.”
• “DB에 저장된 아이디와 암호화된 비밀번호를 비교하면 되겠지.”
• “HTTP POST 방식은 비밀스럽게 통신하는 방식이야.”
• “로그인을 하고나면 로그아웃하기 전까지 로그인한 것으로 간주.”

6. 안전한 로그인 구현 조건
• 비밀번호를 포함한 개인정보는 전송 시 모두 암호화해야 한다.
• 또한, HTTP 보다는 HTTPS(SSL)를 이용해서 통신한다.
• HTTP POST는 GET과 비교해 파라미터들이 위치하는 곳이 다를 뿐 보안
과는 무관하다. (패킷스니핑)
• MD5, SHA-1, SHA-256, SHA-512 등의 해싱은 무결성 인증을 위해 사용
하는 것이지 암호화 알고리즘이 아니다. (MD5, SHA-1은 무력화되었다.)
• 로그인 성공은 사용자 “인증”을 완료했다는 것이며, 해당하는 “접근 권한”
을 부여한다는 것이다. 그러나 이 상태(세션)는 적절한 시기에 만료시켜야
한다.

7. 안전한 로그인 구현 예제
• REST API 지향
• RSA 암호화를 통해 개인정보를 암호화
• secure한 cookie를 이용해 RSA 개인키 보관
• token과 REDIS를 이용한 session 관리

8. Flask, Redis, Retrofit
• Python Flask: Django와 더불어 많이 사용되고 있는 Python
웹 프레임워크. Django는 Full-Stack 프레임워크인 반면에
Flask는 필요한 기능만 제공하는 Micro 프레임워크이다.
• Redis: REmote DIctionary System의 약자로 메모리 기반의
Key/Value 자료구조 서버이다.
• Retrofit: Square Inc.에서 개발한 Java용 네트워크 라이브러
리. Android 개발에서는 Volley 이후로 많이 쓰이고 있다.

9. Flask?
http://127.0.0.1:5000/ 으로 접속 시 “Safety Login” 표시

10. Redis?
“myKey”라는 키로 “myValue”라는 값을 얻을 수 있음

11. Retrofit?
“/user/login”에 GET으로 요청해서 비동기로 응답받음

12. redis-py
Python에서 Redis를 연결하는 인터페이스 클라이언트

13. 서버사이드 API 설계
POST /api/user/signup: 회원가입
*편의상 DB 대신 상수를 이용한 점 양해바랍니다.

14. 서버사이드 API 설계
GET /api/user/login: RSA 공개키 발급

15. 서버사이드 API 설계
PUT /api/user/login: 로그인

16. 서버사이드 API 설계
GET /api/user/profile: 사용자 프로필 조회

17. Android 클라이언트 접속
Retrofit을 이용한 서버사이드 API 인터페이스

18. Android 클라이언트 접속
SignupActivity: 회원가입 요청

19. Android 클라이언트 접속
LoginActivity: RSA 공개키 요청

20. Android 클라이언트 접속
LoginActivity: 공개키를 이용한 RSA 암호화

21. Android 클라이언트 접속
LoginActivity: 로그인 요청

22. 안전한 로그인 구현 예제
지금까지 설명한 예제 소스코드를 다음에 공개했습니다.
https://gitlab.com/ewhappcenter/safety-login.git

23. 안전한 로그인 구현 예제
• 이 예제는 “예시”로서 간단한 구현체이다. 따라서 다음과 같은 문
제가 있으며, 실서비스에서 사용하는 것을 권장하지 않는다.
1. RSA 암호화를 해서 전송하더라도 중간자 공격에 취약하다.
(SSL 연결 필요)
2. 전체 내용 자체를 RSA 암호화 하는 것만으로는 빠른 성능을
보장할 수 없다. (내용을 AES 암호화하고 AES 키를 RSA
암호화하는 방법을 추천)

24. 감사합니다.
이화앱센터 안드로이드팀장 한만종
han@manjong.org