ㅎㅎㅎ

💡 모바일 웹 시스템 인증 개선 제안 (Email/SMS 인증)
SSO(Single Sign-On)를 사용하지 못하는 모바일 웹 시스템에 이메일(Email) 및 SMS 인증 번호를 통한 인증 방식을 도입하는 것은 사용자 편의성과 보안을 개선할 수 있는 좋은 방안입니다. 아래에서는 필요한 DB 추가 항목과 인증 프로세스를 설명드립니다.
1. 💾 데이터베이스(DB) 추가 항목
인증 번호 발송 및 확인을 위해 임시 정보를 저장할 별도의 테이블을 생성하는 것을 권장합니다. 기존 사용자 정보 테이블(User Table)에 추가할 수도 있지만, 보안 및 관리의 용이성을 위해 분리하는 것이 일반적입니다.
| 테이블 명 | 항목 (Column Name) | 데이터 타입 | 설명 | 비고 |
|---|---|---|---|---|
| 인증_로그 (Auth_Log) | id | INT (PK) | 고유 식별자 | 자동 증가 |
|  | user_identifier | VARCHAR | 인증 대상 사용자 식별자 (Email 또는 Phone Number) | 인덱스 필요 |
|  | auth_code | VARCHAR/INT | 발급된 인증 번호 (6자리 등) |  |
|  | code_type | VARCHAR | 인증 종류 ('EMAIL' 또는 'SMS') |  |
|  | created_at | DATETIME | 인증 번호 발급 시각 |  |
|  | expires_at | DATETIME | 인증 번호 만료 시각 (예: 발급 후 5분) |  |
|  | is_verified | BOOLEAN | 인증 성공 여부 | 기본값: FALSE |
2. ⚙️ 인증 프로세스 (Email/SMS 공통)
인증 번호를 요청하고 확인하는 과정은 아래와 같은 단계로 진행됩니다.
1단계: 사용자 인증 요청
* 사용자 입력: 사용자가 로그인 화면에서 이메일 주소 또는 휴대폰 번호를 입력하고 '인증번호 받기'를 요청합니다.
* 서버 검증: 서버는 입력된 식별자가 등록된 사용자인지 확인합니다.
* 인증번호 생성: 서버는 랜덤한 6자리 숫자 등의 인증 번호를 생성합니다.
2단계: 인증번호 발송 및 DB 저장
* DB 저장: 서버는 생성된 인증 번호, 사용자 식별자, 발급 시각, 만료 시각을 인증_로그 테이블에 저장합니다.
   * 팁: 보안을 위해 기존에 만료되지 않은 해당 사용자의 인증 번호 레코드는 삭제하거나 '만료됨'으로 처리합니다.
* 발송: 서버는 이메일 전송 API 또는 SMS 전송 API를 이용해 사용자에게 인증 번호를 발송합니다.
3단계: 사용자 인증번호 입력
* 사용자 입력: 사용자는 수신한 인증 번호를 화면의 입력창에 입력하고 '인증 확인'을 요청합니다.
4단계: 인증번호 확인 및 로그인
* DB 조회: 서버는 인증_로그 테이블에서 사용자 식별자에 해당하는 가장 최근에 발급된 인증 번호 기록을 조회합니다.
* 유효성 검증:
   * 일치 여부 확인: 사용자가 입력한 번호와 DB의 auth_code가 일치하는지 확인합니다.
   * 만료 시각 확인: DB의 expires_at 시각이 현재 시각보다 이후인지 확인하여 만료되지 않았는지 검증합니다.
* 인증 성공/실패:
   * 성공: 두 가지 검증을 모두 통과하면 해당 레코드의 is_verified를 TRUE로 업데이트하고, 사용자에게 로그인 성공 처리(예: 세션 생성 또는 JWT 발급)를 진행합니다.
   * 실패: 일치하지 않거나 만료된 경우 인증 실패 메시지를 사용자에게 표시합니다.
3. 🛡️ 보안 고려 사항
* 만료 시간 설정: 인증 번호는 반드시 5분 이내 등의 짧은 만료 시간을 설정하여 재사용을 방지해야 합니다.
* 재시도 제한: 짧은 시간 내에 인증 요청 횟수나 인증번호 입력 실패 횟수에 제한(Throttle)을 두어 무차별 대입 공격(Brute Force Attack)을 방지해야 합니다.
* 로그 활용: 인증_로그 테이블은 보안 감사 및 이상 행위 분석에도 활용될 수 있습니다.
이 프로세스를 통해 SSO 없이도 안전하고 편리한 모바일 웹 인증 시스템을 구축할 수 있습니다.
혹시 이 내용을 기반으로 제안 메일 초안 작성을 도와드릴까요?