Spring Security

[SPRING SECURITY] SessionRegistry 이용하기

스프링 시큐리티 필터로 제어불가능한 로그인 상황이 있었어서 직접 SessionRegistry를 이용해 세션을 관리하였다.단순하게 동일한 아이디로 세션이 존재하는지 확인하고 없으면 새로운 세션 추가, 있으면 기존에 있던 세션을 만료시키는 기능을 구현하였다.찾아보니 SessionRegistry가 아닌 세션정보를 담은 리스트나 맵 객체를 만들어서 구현하는 방법도 있었다. 암튼 이 과정에서 알게된 두 객체SessionInformationSessionRegistry ** 공부하거나 업무할수록 블로그도 많이 읽긴 하는데 가장 정보를 많이 얻고 찾아보게 되는건 역시 공식 문서인듯 **  SessionInformationhttps://docs.spring.io/spring-security/site/docs/3.1.x/..

JAVA/SPRING 2022. 11. 20. 23:22

[SPRING SECURITY] CSRF

CSRF(Cross Site Request Forgery) 공격사용자 의지와 무관하게 공격자의 의도대로 서버에 특정 요청을 하도록 함예를 들어 한 사용자가 서비스를 사용중이다. 공격자는 이와 비슷한 도메인을 가진 가짜 사이트를 하나 만들어 사용자가 접속하도록 유도한다. 동일한 화면의 가짜 사이트에 사용자는 정보를 입력하고 서버에 요청을 보낸다. 하지만 실제로 서버에 요청되는 내용은 사용자의 요청이 아닌 공격자가 심어둔 내용이다. 이렇게 사용자 권한을 이용해 서버에 변조된 요청을 보내는 공격방법을 CSRF라 한다.  CSRF Token서버에 들어온 요청이 실제 서버에서 허용한 요청인지 확인하기 위한 토큰서버에서 뷰 페이지를 발행할 때 마다 랜덤으로 생성된 Token을 같이 준 뒤 사용자 세션에 저장한다. ..

JAVA/SPRING 2021. 4. 16. 01:22

[SPRING SECURITY] 커스텀 클래스와 로그인

AuthenticationProvider입력된 로그인 정보와 DB에서 가져온 사용자 정보를 비교하는 인터페이스사용자의 요청이 담긴 Authentication를 AuthenticationManager에 넘겨주며 해당 인터페이스를 ProviderManager가 구현ProviderManager은 여러 AuthenticationProvider로 구성되며 AuthenticationProvider에서 실제 인증에 대한 부분 처리인증 전의 Authentication 객체를 받아 인증이 완료된 객체 반환 AuthenticationProvider 인터페이스를 구현하여 해당 클래스를 AuthenticationManger로 등록AuthenticationManger 인증 요청을 받고 Authentication를 채움Authe..

JAVA/SPRING 2021. 4. 16. 01:04

[SPRING SECURITY] 스프링 부트 환경설정

스프링 시큐리티 라이브러리 추가📄 build.gradledependencies { # spring security implementation 'org.springframework.boot:spring-boot-starter-security' # security tag 사용 implementation 'org.springframework.security:spring-security-taglibs' }📄 application.properties# Security logginglogging.level.org.springframework.security=debug  어노테이션 기반의 환경설정📄 SecurityConfig.java@Configuration // 1@E..

JAVA/SPRING 2021. 3. 14. 21:09

[SPRING SECURITY] 스프링 시큐리티란

Spring Security(스프링 시큐리티) 보안 솔루션을 제공하는 스프링 기반의 하위 프레임워크로 스프링MVC와 분리되어 별도의 filter 기반으로 동작한다.세션-쿠키 이용한 서버기반의 인증방식이다. https://juran-devblog.tistory.com/4 [WEB] 서버기반 인증 vs 토큰기반 인증Stateless 서버와 클라이언트 간의 상태를 유지하지 않음 (서버가 클라이언트의 정보를 유지하지 않음) 클라이언트의 상태를 서버나 세션에 유지하지 않고 클라이언트로부터 새로 도착한 요청에juran-devblog.tistory.com스프링 시큐리티 주요 키워드인증(Authentication)보호된 리소스에 접근한 대상이 누군인지 확인하는 것으로 해당 사용자가 본인이 맞는 지 확인한다.인가(Aut..

JAVA/SPRING 2021. 3. 14. 20:58

페이징

1

티스토리툴바