전체 글

CSRF 🔥 CSRF (사이트 간 요청 위조, Cross-Site Ruquest Forgery) 공격자가 인증된 브라우저에 저장된 쿠키의 세션 정보를 활용하여 웹 서버에 사용자가 의도하지 않은 요청을 전달하는 것 CSRF 설정이 되어있는 경우 html에서 CSRF 토큰 값을 넘겨주어야 요청을 수신 가능 쿠키 기반의 취약점을 이용한 공격이기 때문에 REST 방식의 API에서는 disable 가능 POST 요청마다 처리해주는 대신 CSRF protection을 disable Spring Security - Filter Chain Spring 에서 모든 호출은 DispatcherServlet을 통과하게 되고 이후에 각 요청을 담당하는 Controller로 분배 이 때, 각 요청에 대해서 공통적으로 처리해야 할..

필터 Filter란 웹 애플리케이션에서 관리되는 영역으로 Client로부터 오는 요청과 응답에 대해 최초/최종 단계의 위치이며, 이를 통해 요청과 응답의 정보를 변경하거나 부가적인 기능 추가 가능 주로 범용적으로 처리해야 하는 작업들, 예를 들어 로깅 및 보안 처리에 활용 또한 인증, 인가가 관련된 로직들을 처리 가능 Filter를 사용하면 인증, 인가와 관련된 로직을 비즈니스 로직과 분리하여 관리할 수 있다는 장점 존재 Filter Chain 필터는 여러 개가 Chain 형식으로 묶여서 처리 가능 필터 적용 요청 URL의 인가 처리 및 인증 처리 진행하는 필터 구현 추가로 요청 URL을 로깅해주는 필터 구현 Request URL Logging @Slf4j(topic = "LoggingFilter") @..

JWT Json Web Token 이란, JSON 포맷을 이용하여 사용자에 대한 속성을 저장하는 clain 기반의 Web Token 즉, 토큰의 한 종류 일반적으로 쿠키 저장소를 사용하여 JWT 저장 사용 이유 서버가 1대인 경우 Session1이 모든 client의 로그인 정보를 소유 서버가 2대 이상인 경우 서버의 대용량 트래픽을 처리를 위해 서버 2대 이상 운영이 필요 Session 마다 다른 Client 로그인 정보를 가지고 있을 수 있음 만약 Client1의 로그인 정보를 가지고 있지 않은 Server2 나 Server3에 API 요청을 하게 되면? 해결 방법 1) Sticky Session : Client 마다 요청 Server 고정 2) 세션 저장소를 생성하여 모든 세션 저장 세션 저장소 생..

쿠키와 세션 쿠키와 세션 모두 HTTP 에 상태 정보를 유지(Stateful)하기 위해 사용 즉, 쿠키와 세션을 통해 서버에서는 클라이언트 별로 인증 및 인가 가능 쿠키 클라이언트에 저장될 목적으로 생성한 작은 정보를 담은 파일 도메인 별로 저장되어 있음 구성요소 Name : 쿠키를 구별하는데 사용되는 키(중복x) Value : 쿠키의 값 Domain : 쿠키가 저장된 도메인 Path : 사용되는 경로 Expires : 만료기한 세션 서버에서 일정시간 동안 클라이언트의 상태를 유지하기 위해 사용 서버에서 클라이언트 별로 유일한 '세션ID'를 부여한 후 필요한 정보를 서버에 저장 '세션ID'는 클라이언트의 쿠키값으로 저장되어 클라이언트 식별에 사용됨 동작 방식 클라이언트가 서버..

어제 알고리즘 문제를 풀지못했다... 하루에 2문제 푸는게 계획인데ㅠㅠㅠㅠㅠ 그래서 오늘은 4문제!!! 풀어따~! 요즘 물주기 시트지 보는 재미에 푹~ 꽤나 성취감이 느껴지는 방식!!!! 그리고 오늘도 면접 준비가 거의 다 차지...ㅠ 결국 어제 다짐 오늘 못지킴 어제 한 다짐 오늘도 ! 내일은 전부 다 하자 너무 하나에만 몰두하는 것도 좋지 않다

오늘은 9시까지 일어나기 실패했다... 어제, 오늘 다 매니저님께 전화받았따... 😴 Spring security, JWT를 이용한 회원가입/로그인, Validation 에 대해 학습했다. 코드를 짜고, 기능을 구현함에 있어서 큰 문제는 없지만, 아직 이론에 약하다는 것을 더 느꼈다.... 내일 1주차 과제를 진행하기 전에 한 번더 듣고 정리한 후에 과제를 진행해야겠당..... 사실 요즘 면접 준비를 하는라 너무 정신이 없다..... 그래서 뭔가 내배캠에 너무 신경을 못쓴 느낌 이래서는 안된다. 다시 초심을 찾고,!!!!!!!!!!! 시간을 정확히 정하고! 딴 짓하지 않고! 계획 빡! 세워서 두 마리, 세 마리 토끼 다 먹는다!!!🐰🐰🐰🐰🐰🐰🐰🐰🐰

스프링 숙련 주차 강의 시작! 빈 수동 등록 방법, 동일한 타입의 빈이 여러 개일 경우, 인증과 인가란에 대해 강의를 들었다. 거의 빈을 @Component 애노테이션을 이용해서 자동 스캔을 통해 사용했기 때문에 , 수동으로 등록하는 방법에 대해 실습을 해본 것은 거의 처음이었다 '편한 자동 등록이 있는데 왜 수동을 사용하지..?' 했는데 공통 로직이나 에러 시 찾기 쉽도록 수동 등록을 한다는 것을 알았다. 그리고 동일한 타입의 빈에 대해 만들어 본적이 없어서, @Qualifier, @Primary 에 대해서는 몰랐는데 @Qualifier("name")는 이름 설정, @Primary는 우선권 부여 인 것으로 이해했다! 인증과 인가의 차이점이 굉장히 헷갈렸는데, 인증은 로그인! 인가는 회원/..

인증과 인가 인증(Authentication) 해당 유저가 실제 유저인지 인증(확인) 개념 ex. 스마트폰 지문인식, 로그인 등 인가(Authorization) 해당 유저가 특정 리소스에 접근 가능 여부 허가 확인 개념 ex. 관리자 페이지 - 관리자 권환 웹 애플리케이셔 인증의 특수성 일반적으로 서버 - 클라이언트 구조, 물리적 거리 존재 HTTP 프로토콜을 이용하여 통신 -> 비연결성(Connectionless) 무상태(Stateless)👉 비연결성(Connectionless) : 서버와 클라이언트가 연결되지 않음을 의미 채팅이나 게임같은 것을 하지 않는 이상 서버와 클라이언트는 실제로 연결 ❎ -> 리소스 절약을 위해 서버는 하나의 요청에 하나의 응답을 주고 연결 끊음 👉 무상태(Stateless)..