SSO 세션 탈취 검사하기

Agent에서 AuthCheck 클래스를 이용해 인증 체크를 하고 그 결과가 AuthStatus.SSOSuccess 일 때 사용자의 세션 탈취 여부를 조사하는 메서드를 실행합니다.

이 메서드는 필요한 페이지에서만 호출합니다.

Json data를 이용하는 로직이 있으므로 Ajax의 결과 페이지에서는 사용하지 않아야 합니다.

샘플코드

// 인증 객체 선언(Request와 Response 인계)
AuthCheck authCheck = new AuthCheck(Page.Request, Page.Response);
// 인증 체크(인증 상태 값 리턴)
AuthStatus status = authCheck.CheckLogon();

// 인증 상태 별 처리
if (status == AuthStatus.SSOSuccess)
{
// ---------------------------------------------------------------------
// 인증 상태: 인증 성공
// - 인증 토큰(쿠키) 존재하고, 토큰 형식에 맞고, SSO 정책 체크 결과 유효함.
// ---------------------------------------------------------------------
 
// 사용자 세션 탈취 여부 조사
// 세션 탈취를 감지하는 Javascript를 호출하는 코드가 자동 생성됨.
// 필요한 페이지에서만 호출.
// 특히 JSON Data가 깨지게되니, Ajax의 결과 페이지에서는 사용하지 말것.
authCheck.CheckHijacking();
}