내일배움캠프

CSRF 🔥 CSRF (사이트 간 요청 위조, Cross-Site Ruquest Forgery) 공격자가 인증된 브라우저에 저장된 쿠키의 세션 정보를 활용하여 웹 서버에 사용자가 의도하지 않은 요청을 전달하는 것 CSRF 설정이 되어있는 경우 html에서 CSRF 토큰 값을 넘겨주어야 요청을 수신 가능 쿠키 기반의 취약점을 이용한 공격이기 때문에 REST 방식의 API에서는 disable 가능 POST 요청마다 처리해주는 대신 CSRF protection을 disable Spring Security - Filter Chain Spring 에서 모든 호출은 DispatcherServlet을 통과하게 되고 이후에 각 요청을 담당하는 Controller로 분배 이 때, 각 요청에 대해서 공통적으로 처리해야 할..

필터 Filter란 웹 애플리케이션에서 관리되는 영역으로 Client로부터 오는 요청과 응답에 대해 최초/최종 단계의 위치이며, 이를 통해 요청과 응답의 정보를 변경하거나 부가적인 기능 추가 가능 주로 범용적으로 처리해야 하는 작업들, 예를 들어 로깅 및 보안 처리에 활용 또한 인증, 인가가 관련된 로직들을 처리 가능 Filter를 사용하면 인증, 인가와 관련된 로직을 비즈니스 로직과 분리하여 관리할 수 있다는 장점 존재 Filter Chain 필터는 여러 개가 Chain 형식으로 묶여서 처리 가능 필터 적용 요청 URL의 인가 처리 및 인증 처리 진행하는 필터 구현 추가로 요청 URL을 로깅해주는 필터 구현 Request URL Logging @Slf4j(topic = "LoggingFilter") @..

JWT Json Web Token 이란, JSON 포맷을 이용하여 사용자에 대한 속성을 저장하는 clain 기반의 Web Token 즉, 토큰의 한 종류 일반적으로 쿠키 저장소를 사용하여 JWT 저장 사용 이유 서버가 1대인 경우 Session1이 모든 client의 로그인 정보를 소유 서버가 2대 이상인 경우 서버의 대용량 트래픽을 처리를 위해 서버 2대 이상 운영이 필요 Session 마다 다른 Client 로그인 정보를 가지고 있을 수 있음 만약 Client1의 로그인 정보를 가지고 있지 않은 Server2 나 Server3에 API 요청을 하게 되면? 해결 방법 1) Sticky Session : Client 마다 요청 Server 고정 2) 세션 저장소를 생성하여 모든 세션 저장 세션 저장소 생..

쿠키와 세션 쿠키와 세션 모두 HTTP 에 상태 정보를 유지(Stateful)하기 위해 사용 즉, 쿠키와 세션을 통해 서버에서는 클라이언트 별로 인증 및 인가 가능 쿠키 클라이언트에 저장될 목적으로 생성한 작은 정보를 담은 파일 도메인 별로 저장되어 있음 구성요소 Name : 쿠키를 구별하는데 사용되는 키(중복x) Value : 쿠키의 값 Domain : 쿠키가 저장된 도메인 Path : 사용되는 경로 Expires : 만료기한 세션 서버에서 일정시간 동안 클라이언트의 상태를 유지하기 위해 사용 서버에서 클라이언트 별로 유일한 '세션ID'를 부여한 후 필요한 정보를 서버에 저장 '세션ID'는 클라이언트의 쿠키값으로 저장되어 클라이언트 식별에 사용됨 동작 방식 클라이언트가 서버..

인증과 인가 인증(Authentication) 해당 유저가 실제 유저인지 인증(확인) 개념 ex. 스마트폰 지문인식, 로그인 등 인가(Authorization) 해당 유저가 특정 리소스에 접근 가능 여부 허가 확인 개념 ex. 관리자 페이지 - 관리자 권환 웹 애플리케이셔 인증의 특수성 일반적으로 서버 - 클라이언트 구조, 물리적 거리 존재 HTTP 프로토콜을 이용하여 통신 -> 비연결성(Connectionless) 무상태(Stateless)👉 비연결성(Connectionless) : 서버와 클라이언트가 연결되지 않음을 의미 채팅이나 게임같은 것을 하지 않는 이상 서버와 클라이언트는 실제로 연결 ❎ -> 리소스 절약을 위해 서버는 하나의 요청에 하나의 응답을 주고 연결 끊음 👉 무상태(Stateless)..

Bean 등록 수동 등록 ? @Component 사용 시, @ComponentScan에 의해 자동으로 해당 클래스 Bean으로 등록 🙋‍♀️ 그런데 왜 수동으로 등록?? 기술적인 문제나 공통 관심사를 처리할 때 사용하는 객체 비즈니스 로직 Bean보다 수가 적기 때문에 부담스럽지 않음 수동 등록된 Bean에서 문제가 발생했을 때 해당 위치를 파악하기 쉬움 수동 등록 방법 @Configuration public class PasswordConfig { @Bean public PasswordEncoder passwordEncoder(){ return new BCryptPasswordEncoder(); } } 객체를 반환하는 메서드 @Bean 메서드가 속한 클래스 @Configuration Spring IoC..

Spring Data JPA SpringBoot 환경에서의 JPA SpringBoot 환경에서는 EntityManagerFactory와 EntityManager를 자동으로 생성 application.properties에 DB 정보를 전달해 주면 이를 토대로 EntityManagerFactory가 생성됨@PersistenceContext EntityManager em; @PersistenceContext 애노테이션을 사용하면 자동으로 생성된 EntityManager를 주입받아 사용 가능 Spring의 트랜잭션 Spring 프레임워크에서 DB의 트랜잭션 개념을 애플리케이션을 적용할 수 있도록 트랜잭션 관리자를 제공 @Transactional(readOnly = true) public class SimpleJ..

Entity의 상태 비영속(Transient) Memo memo = new Memo(); // 비영속 상태 memo.setId(1L); memo.setUsername("Robbie"); memo.setContents("비영속과 영속상태); new 연산자를 통해 인스턴스화 된 Entity 객체 아직 영속성 컨텍스트에 저장되지 않았기 때문에 JPA의 관리를 받지 않음 영속(Managed) em.persist(memo); persist(entity) : 비영속 Entity를 EntityManager를 통해 영속성 컨텍스트에 저장하여 관리하고 있는 상태로 만듬 준영속(Detacthed) 준영속 상태는 영속성 컨텍스트에 저장되어 관리되다가 분리된 상태를 의미 영속 상태 -> 준영속 상태 detach() em.de..