8.HTTP Basic 인증 방식의 단점

HTTP 프로토콜에서 제공하는 Basic 인증에서는 Authorization 헤더에 username과 password를 전달하면 됨

그만큼 구현이 간단하기 때문에 보안적 중요성이 상대적으로 낮은 리소스들에 대해서는 이러한 HTTP Basic 인증 방식을 사용할 수도 있음

단점으로는 클라이언트(브라우저)와 서버 간의 통신 과정에서 전달되는 자격 증명(username, password)의 기밀성(confidentiality)이 보장되지 않음

또한 Base64는 전송 편의성을 위한 인코딩 방법이며, 암호화나 해싱이 아니기 때문에 전송 과정에서 중간자(Man in the middle)에 의해 자격 증명이 가로채지면 누구든지 디코딩(Decoding)하여 원문을 확인할 수 있음

따라서 통신 과정 자체에 대해 어느 정도 보안 기능이 적용되는 HTTPS 기반의 프로토콜을 통해 중간자 공격에 대한 위험을 낮출 수 있는 경우가 아니라면 기본적으로 HTTP Basic 인증 방식은 사용하지 않는 편이 좋음