비밀번호 해시
비밀번호 원문을 되돌릴 수 없는 문자열로 변환해 저장하는 방식이다. 데이터베이스가 유출되더라도 사용자의 실제 비밀번호가 바로 드러나지 않도록 보호한다. 단순 SHA 해시만 쓰는 것은 안전하지 않고, bcrypt, Argon2, scrypt처럼 비밀번호 저장용으로 설계된 느린 해시 알고리즘과 salt를 사용해야 한다. 바이브 코딩에서 AI가 '간단한 로그인'을 만들 때 비밀번호를 그대로 저장하는 코드를 내놓을 수 있으므로, 회원가입·로그인 코드 리뷰의 첫 체크포인트가 된다.
예시
회원가입 API에서는 password를 데이터베이스에 직접 넣지 않고 bcrypt로 해시한 passwordHash만 저장한다. 로그인 API에서는 입력 비밀번호를 다시 해시해 비교하는 것이 아니라 bcrypt.compare처럼 검증 함수를 사용해 저장된 해시와 맞는지 확인한다.
참고
공개 콘텐츠에는 예시 비밀번호나 실제 해시 값을 넣지 않는 것이 좋다.
카테고리
보안·인증
난이도
basic
태그
비밀번호 · 해시
함께 읽기
연관 용어
보안·인증
쿠키
웹사이트가 브라우저에 저장해 두는 작은 데이터 조각이다. 로그인 상태 유지, 장바구니, 언어 설정처럼 다음 방문에도 기억해야 하는 정보를 담을 때 쓰인다. 편리하지만 인증 쿠키를 잘못 다루면 계정 탈취 위험이 생기므로 httpOnly, secure, sameSite 같은 보안 옵션을 함께 이해해야 한다.
보안·인증
세션
사용자가 사이트에 접속해 있는 동안 서버가 유지하는 상태 정보이다. 보통 브라우저에는 세션 ID만 쿠키로 저장하고, 실제 로그인 사용자 정보와 권한은 서버나 데이터베이스에 둔다. 바이브 코딩에서 로그인 기능을 만들 때 세션과 쿠키의 차이를 이해하면 민감한 사용자 정보를 브라우저에 과도하게 저장하는 실수를 줄일 수 있다.
보안·인증
교차 출처 리소스 공유
브라우저가 한 출처의 웹 페이지에서 다른 출처의 API를 호출할 때 적용하는 보안 규칙이다. 프론트엔드와 백엔드 도메인이 다르면 서버가 어떤 출처를 허용하는지 응답 헤더로 알려줘야 한다. 바이브 코딩 초보자가 '브라우저에서는 막히는데 터미널 curl은 된다'는 상황을 만날 때 CORS가 원인인 경우가 많다.