Share via

인증 처리

  • 아티클

일부 프록시 및 서버는 인터넷의 리소스에 대한 액세스 권한을 부여하기 전에 인증이 필요합니다. WinINet 함수는 http 세션에 대한 서버 및 프록시 인증을 지원합니다. ftp 서버의 인증은 InternetConnect 함수에서 처리해야 합니다. 현재 FTP 게이트웨이 인증은 지원되지 않습니다.

HTTP 인증 정보

인증이 필요한 경우 클라이언트 애플리케이션은 서버에 인증이 필요한 경우 상태 코드 401을 받거나 프록시에 인증이 필요한 경우 407을 받습니다. 상태 코드를 사용하면 프록시 또는 서버에서 하나 이상의 인증 응답 헤더인 Proxy-Authenticate(프록시 인증용) 또는 WWW-Authenticate(서버 인증용)을 보냅니다.

각 인증 응답 헤더에는 사용 가능한 인증 체계 및 영역이 포함됩니다. 여러 인증 체계가 지원되는 경우 서버는 여러 인증 응답 헤더를 반환합니다. 영역 값은 대/소문자를 구분하며 프록시 또는 서버의 보호 공간을 정의합니다. 예를 들어 "WWW-Authenticate: Basic Realm="example"라는 헤더는 서버 인증이 필요할 때 반환되는 헤더의 예입니다.

요청을 보낸 클라이언트 애플리케이션은 요청과 함께 권한 부여 헤더 필드를 포함하여 자체 인증할 수 있습니다. 권한 부여 헤더에는 인증 체계와 해당 스키마에 필요한 적절한 응답이 포함됩니다. 예를 들어 클라이언트가 인증 응답 헤더 "WWW-Authenticate: Basic Realm="example"를 받은 경우 헤더 "Authorization: Basic <username:password>"가 요청에 추가되고 서버로 다시 전송됩니다.

두 가지 일반적인 유형의 인증 체계가 있습니다.

  • 사용자 이름 및 암호가 서버에 일반 텍스트로 전송되는 기본 인증 체계입니다.
  • 챌린지-응답 형식을 허용하는 챌린지-응답 체계입니다.

기본 인증 체계는 클라이언트가 각 영역에 대한 사용자 이름 및 암호를 사용하여 인증해야 하는 모델을 기반으로 합니다. 서버는 유효한 사용자 이름 및 암호를 포함하는 권한 부여 헤더를 사용하여 요청을 다시 요청하는 경우 서비스를 제공합니다.

챌린지-응답 체계를 사용하면 더 안전한 인증을 사용할 수 있습니다. 요청에 챌린지 응답 체계를 사용하여 인증이 필요한 경우 적절한 상태 코드 및 인증 헤더가 클라이언트로 반환됩니다. 그런 다음 클라이언트는 협상으로 요청을 다시 보내야 합니다. 서버는 챌린지가 있는 적절한 상태 코드를 반환하고 클라이언트는 요청된 서비스를 가져오기 위해 적절한 응답으로 요청을 다시 보내야 합니다.

다음 표에는 인증 체계, 인증 유형, 이를 지원하는 DLL 및 스키마에 대한 설명이 나와 있습니다.

구성표 형식 DLL Description
기본(일반 텍스트) basic Wininet.dll 사용자 이름과 암호를 포함하는 base64로 인코딩된 문자열을 사용합니다.
다이제스트 challenge-response Digest.dll nonce(서버 지정 데이터 문자열) 값을 사용하는 데 문제가 있는 챌린지-응답 체계입니다. 유효한 응답에는 사용자 이름, 암호, 지정된 nonce 값, HTTP 메서드 및 요청된 URI(Uniform Resource Identifier)의 체크섬이 포함됩니다. 다이제스트 인증 지원은 Microsoft Internet Explorer 5에 도입되었습니다.
NTLM(NT LAN 관리자) challenge-response Winsspi.dll 사용자 이름에 대한 챌린지를 기반으로 하는 챌린지-응답 체계입니다.
MSN(Microsoft Network) challenge-response Msnsspc.dll Microsoft 네트워크의 인증 체계입니다.
DPA(분산 암호 인증) challenge-response Msapsspc.dll MSN 인증과 유사하며 Microsoft 네트워크에서도 사용됩니다.
RPA(원격 암호 인증) Compuserve Rpawinet.dll, da.dll CompuServe 인증 체계. 자세한 내용은 RPA 메커니즘 사양을 참조하세요.

 

기본 인증 이외의 다른 항목의 경우 적절한 DLL을 설치하는 것 외에도 레지스트리 키를 설정해야 합니다.

인증이 필요한 경우 httpOpenRequest 호출에 INTERNET_FLAG_KEEP_CONNECTION 플래그를 사용해야 합니다. INTERNET_FLAG_KEEP_CONNECTION 플래그는 인증 프로세스를 완료하는 동안 연결을 유지하기 위해 NTLM 및 기타 유형의 인증에 필요합니다. 연결이 유지되지 않으면 프록시 또는 서버를 사용하여 인증 프로세스를 다시 시작해야 합니다.

인증이 필요한 경우에도 InternetOpenUrlHttpSendRequest 함수가 성공적으로 완료됩니다. 차이점은 헤더 파일에 반환된 데이터와 InternetReadFile은 사용자에게 상태 코드를 알리는 HTML 페이지를 수신합니다.

인증 키 등록

INTERNET_OPEN_TYPE_PRECONFIG ProxyEnable, ProxyServerProxyOverride 레지스트리 값을 확인합니다. 이러한 값은 HKEY_CURRENT_USER\소프트웨어\Microsoft\Windows\CurrentVersion\인터넷 설정 아래에 있습니다.

Basic 이외의 인증 체계의 경우HKEY_LOCAL_MACHINE SOFTWARE\Microsoft\Internet Explorer\\Security에서 키를 레지스트리에 추가해야 합니다. 적절한 값으로 DWORD 값인 Flags를 설정해야 합니다. 다음 목록에서는 Flags 값에 사용할 수 있는 값을 보여 주세요.

  • PLUGIN_AUTH_FLAGS_UNIQUE_CONTEXT_PER_TCPIP(value=0x01)

    각 전송 제어 프로토콜/인터넷 프로토콜(TCP/IP) 소켓에는 다른 컨텍스트가 포함됩니다. 그렇지 않으면 각 영역 또는 블록 URL 템플릿에 대해 새 컨텍스트가 전달됩니다.

  • PLUGIN_AUTH_FLAGS_CAN_HANDLE_UI(value=0x02)

    이 DLL은 자체 사용자 입력을 처리할 수 있습니다.

  • PLUGIN_AUTH_FLAGS_CAN_HANDLE_NO_PASSWD(value=0x04)

    이 DLL은 사용자에게 암호를 묻는 메시지를 표시하지 않고 인증을 수행할 수 있습니다.

  • PLUGIN_AUTH_FLAGS_NO_REALM(value=0x08)

    이 DLL은 표준 http 영역 문자열을 사용하지 않습니다. 영역으로 표시되는 모든 데이터는 체계별 데이터입니다.

  • PLUGIN_AUTH_FLAGS_KEEP_ALIVE_NOT_REQUIRED(value=0x10)

    이 DLL은 챌린지-응답 시퀀스에 대한 영구 연결이 필요하지 않습니다.

예를 들어 NTLM 인증을 추가하려면 HKEY_LOCAL_MACHINESOFTWARE\Microsoft\ Internet Explorer\Security에 키 NTLM\ 추가해야 합니다. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Security\NTLM에서 문자열 값인 DLLFileDWORD값 Flags를 추가해야 합니다. DLLFile 은 Winsspi.dll, 플래그 는 0x08 설정해야 합니다.

서버 인증

서버가 인증이 필요한 요청을 받으면 서버는 401 상태 코드 메시지를 반환합니다. 해당 메시지에서 서버에는 하나 이상의 WWW-Authenticate 응답 헤더가 포함되어야 합니다. 이러한 헤더에는 서버에서 사용할 수 있는 인증 방법이 포함됩니다. WinINet은 인식하는 첫 번째 메서드를 선택합니다.

기본 인증은 채널이 SSL 또는 PCT로 먼저 링크 암호화되지 않는 한 약한 보안을 제공합니다.

InternetErrorDlg 함수를 사용하여 사용자 이름 및 암호 데이터를 가져오거나 사용자 지정 사용자 인터페이스를 사용하여 데이터를 가져올 수 있습니다.

사용자 지정 인터페이스는 InternetSetOption 함수를 사용하여 INTERNET_OPTION_PASSWORDINTERNET_OPTION_USERNAME 값을 설정한 다음 서버에 요청을 다시 전송할 수 있습니다.

프록시 인증

클라이언트가 인증이 필요한 프록시를 사용하려고 하면 프록시는 클라이언트에 407 상태 코드 메시지를 반환합니다. 해당 메시지에서 프록시에는 하나 이상의 Proxy-Authenticate 응답 헤더가 포함되어야 합니다. 이러한 헤더에는 프록시에서 사용할 수 있는 인증 방법이 포함됩니다. WinINet은 인식하는 첫 번째 메서드를 선택합니다.

InternetErrorDlg 함수를 사용하여 사용자로부터 사용자 이름 및 암호 데이터를 가져오거나 사용자 지정 사용자 인터페이스를 설계할 수 있습니다.

사용자 지정 인터페이스는 InternetSetOption 함수를 사용하여 INTERNET_OPTION_PROXY_PASSWORD 설정하고 값을 INTERNET_OPTION_PROXY_USERNAME 다음 프록시에 요청을 다시 전송할 수 있습니다.

프록시 사용자 이름과 암호가 설정되지 않은 경우 WinINet은 서버의 사용자 이름 및 암호를 사용하려고 시도합니다. 이 동작을 통해 클라이언트는 서버 인증을 처리하는 데 사용되는 것과 동일한 사용자 지정 사용자 인터페이스를 구현할 수 있습니다.

HTTP 인증 처리

HTTP 인증은 InternetErrorDlg 또는 InternetSetOption 을 사용하거나 자체 인증 헤더를 추가하는 사용자 지정된 함수를 사용하여 처리할 수 있습니다. InternetErrorDlgHINTERNET 핸들과 연결된 헤더를 검사하여 프록시 또는 서버의 코드 상태 같은 숨겨진 오류를 찾을 수 있습니다. InternetSetOption 을 사용하여 프록시 및 서버의 사용자 이름과 암호를 설정할 수 있습니다. MSN 및 DPA 인증의 경우 InternetErrorDlg 를 사용하여 사용자 이름과 암호를 설정해야 합니다.

자체 WWW-Authenticate 또는 Proxy-Authenticate 헤더를 추가하는 사용자 지정된 함수의 경우 인증을 사용하지 않도록 INTERNET_FLAG_NO_AUTH 플래그를 설정해야 합니다.

다음 예제에서는 InternetErrorDlg 를 사용하여 HTTP 인증을 처리하는 방법을 보여줍니다.

HINTERNET hOpenHandle,  hConnectHandle, hResourceHandle;
DWORD dwError, dwErrorCode;
HWND hwnd = GetConsoleWindow();

hOpenHandle = InternetOpen(TEXT("Example"),
                           INTERNET_OPEN_TYPE_PRECONFIG, 
                           NULL, NULL, 0);

hConnectHandle = InternetConnect(hOpenHandle,
                                 TEXT("www.server.com"), 
                                 INTERNET_INVALID_PORT_NUMBER,
                                 NULL,
                                 NULL, 
                                 INTERNET_SERVICE_HTTP,
                                 0,0);

hResourceHandle = HttpOpenRequest(hConnectHandle, TEXT("GET"),
                                  TEXT("/premium/default.htm"),
                                  NULL, NULL, NULL, 
                                  INTERNET_FLAG_KEEP_CONNECTION, 0);

resend:

HttpSendRequest(hResourceHandle, NULL, 0, NULL, 0);

// dwErrorCode stores the error code associated with the call to
// HttpSendRequest.  

dwErrorCode = hResourceHandle ? ERROR_SUCCESS : GetLastError();

dwError = InternetErrorDlg(hwnd, hResourceHandle, dwErrorCode, 
                           FLAGS_ERROR_UI_FILTER_FOR_ERRORS | 
                           FLAGS_ERROR_UI_FLAGS_CHANGE_OPTIONS |
                           FLAGS_ERROR_UI_FLAGS_GENERATE_DATA,
                           NULL);

if (dwError == ERROR_INTERNET_FORCE_RETRY)
    goto resend;

// Insert code to read the data from the hResourceHandle
// at this point.

예제에서 dwErrorCode는 HttpSendRequest 호출과 관련된 오류를 저장하는 데 사용됩니다. 프록시 또는 서버에 인증이 필요한 경우에도 HttpSendRequest가 성공적으로 완료됩니다. FLAGS_ERROR_UI_FILTER_FOR_ERRORS 플래그가 InternetErrorDlg에 전달되면 함수는 헤더에서 숨겨진 오류를 확인합니다. 이러한 숨겨진 오류에는 인증 요청이 포함됩니다. InternetErrorDlg 는 사용자에게 필요한 데이터를 묻는 메시지를 표시하는 적절한 대화 상자를 표시합니다. FLAGS_ERROR_UI_FLAGS_GENERATE_DATA 및 FLAGS_ERROR_UI_FLAGS_CHANGE_OPTIONS 플래그도 InternetErrorDlg에 전달되어야 하므로 함수는 오류에 대한 적절한 데이터 구조를 생성하고 대화 상자의 결과를 HINTERNET 핸들에 저장합니다.

다음 예제 코드에서는 InternetSetOption을 사용하여 인증을 처리하는 방법을 보여 줍니다.

HINTERNET hOpenHandle,  hResourceHandle, hConnectHandle;
DWORD dwStatus;
DWORD dwStatusSize = sizeof(dwStatus);
char strUsername[64], strPassword[64];

// Normally, hOpenHandle, hResourceHandle,
// and hConnectHandle need to be properly assigned.

hOpenHandle = InternetOpen(TEXT("Example"),
                           INTERNET_OPEN_TYPE_PRECONFIG,
                           NULL, NULL, 0);
hConnectHandle = InternetConnect(hOpenHandle,
                                 TEXT("www.server.com"),
                                 INTERNET_INVALID_PORT_NUMBER,
                                 NULL,
                                 NULL,
                                 INTERNET_SERVICE_HTTP,
                                 0,0);

hResourceHandle = HttpOpenRequest(hConnectHandle, TEXT("GET"),
                                  TEXT("/premium/default.htm"),
                                  NULL, NULL, NULL,
                                  INTERNET_FLAG_KEEP_CONNECTION,
                                  0);

resend:

HttpSendRequest(hResourceHandle, NULL, 0, NULL, 0);

HttpQueryInfo(hResourceHandle, HTTP_QUERY_FLAG_NUMBER |
              HTTP_QUERY_STATUS_CODE, &dwStatus, &dwStatusSize, NULL);

switch (dwStatus)
{
    // cchUserLength is the length of strUsername and
    // cchPasswordLength is the length of strPassword.
    DWORD cchUserLength, cchPasswordLength;

    case HTTP_STATUS_PROXY_AUTH_REQ: // Proxy Authentication Required
        // Insert code to set strUsername and strPassword.

        // Insert code to safely determine cchUserLength and
        // cchPasswordLength. Insert appropriate error handling code.
        InternetSetOption(hResourceHandle,
                          INTERNET_OPTION_PROXY_USERNAME,
                          strUsername,
                          cchUserLength+1);

        InternetSetOption(hResourceHandle,
                          INTERNET_OPTION_PROXY_PASSWORD,
                          strPassword,
                          cchPasswordLength+1);
        goto resend;
        break;

    case HTTP_STATUS_DENIED:     // Server Authentication Required.
        // Insert code to set strUsername and strPassword.

        // Insert code to safely determine cchUserLength and
        // cchPasswordLength. Insert error handling code as
        // appropriate.
        InternetSetOption(hResourceHandle, INTERNET_OPTION_USERNAME,
                          strUsername, cchUserLength+1);
        InternetSetOption(hResourceHandle, INTERNET_OPTION_PASSWORD,
                          strPassword, cchPasswordLength+1);
        goto resend;
        break;
}

// Insert code to read the data from the hResourceHandle
// at this point.

참고

WinINet은 서버 구현을 지원하지 않습니다. 또한 서비스에서 사용하면 안 됩니다. 서버 구현 또는 서비스의 경우 WinHTTP(Microsoft Windows HTTP 서비스)를 사용합니다.