꾸준함

주의이 책은 Spring Security 5 버전을 기준으로 작성되었으므로, Spring Boot 3.X 버전에서는 일부 클래스가 더 이상 사용되지(deprecated) 않을 수 있습니다. 개요인증 논리를 담당하는 것은 AuthenticationProvider 계층이며 여기에서 요청을 허용할지 결정하는 조건과 명령을 발견할 수 있음AuthenticationManager는 HTTP 필터 계층에서 요청을 수신하고 해당 책임을 AuthenticationProvider에 위임하는 구성 요소요청을 나타내는 방법을 명확히 이해하려면 Authentication 인터페이스부터 알아야 함그런 다음 인증이 성공한 후 요청 세부 사항이 처리하는 방법을 배울 수 있으며 SecurityContext 인터페이스와 스프링 시큐리티..

주의이 책은 Spring Security 5 버전을 기준으로 작성되었으므로, Spring Boot 3.X 버전에서는 일부 클래스가 더 이상 사용되지(deprecated) 않을 수 있습니다. 1. PasswordEncoder 계약의 이해 일반적으로 시스템은 암호를 일반 텍스트로 관리하지 않고 공격자가 암호를 읽고 훔치기 어렵게 하기 위한 일종의 변환 과정을 거침스프링 시큐리티에는 이 책임을 위해 정의된 별도의 계약이 있음 PasswordEncoder 계약의 정의PasswordEncoder는 인증 프로세스에서 암호가 유효한지를 확인함모든 시스템은 어떤 방식으로든 인코딩 된 암호를 저장하며 아무도 암호를 읽을 수 없도록 해싱 후 저장하는 것을 권장PasswordEncoder도 암호를 인코딩할 수 있으며 계약..

주의이 책은 Spring Security 5 버전을 기준으로 작성되었으므로, Spring Boot 3.X 버전에서는 일부 클래스가 더 이상 사용되지(deprecated) 않을 수 있습니다. 1. 스프링 시큐리티의 인증 구현빨간색 테두리가 있는 두 상자는 기본적으로 두 구성 요소 UserDetailsService와 PasswordEncoder두 구성 요소는 종종 `사용자 관리 부분`이라고 말하는 흐름의 일부분을 처리이 단원에서 UserDetailsService 및 PasswordEncoder는 사용자 세부 정보와 자격 증명을 직접 처리하는 구성 요소 사용자 관리를 위해서는 UserDetailsService 및 UserDetailsManager 인터페이스를 이용UserDetailsService는 사용자 이..

주의이 책은 Spring Security 5 버전을 기준으로 작성되었으므로, Spring Boot 3.X 버전에서는 일부 클래스가 더 이상 사용되지(deprecated) 않을 수 있습니다. 1. 기본 구성이란? 부연 설명AuthenticationFilter는 인증 요청을 AuthenticationManager에 위임하고 응답을 바탕으로 SecurityContext를 구성AuthenticationManager는 AuthenticationProvider를 이용해 인증을 처리AuthenticationProvider는 인증 논리를 구현AuthenticationProvider는 사용자 관리 책임을 구현하는 UserDetailsService를 인증 논리에 이용AuthenticationProvider는 암호 관리를..

전역 메서드 보안 (Global Method Security)클래스나 메서드 단위에서 특정 권한을 가진 사용자만 메서드를 실행하도록 제한할 수 있는 기능전역 메서드 보안에서 수행할 수 있는 두 가지 주요 작업은 다음과 같음호출 권한 부여필터링 기본적으로 스프링 시큐리티에서는 전역 메서드 보안이 비활성화 상태로 제공되기 때문에 해당 기능을 사용하기 위해서는 전역 메서드 보안을 우선 활성화해줘야 함Spring Security 6 버전에서는 @EnableMethodSecurity 하위 버전에서는 @EnableGlobalMethodSecurity 어노테이션 부여전역 메서드 보안을 활성화시키면 스프링의 Aspect(보안 Aspect)가 하나 활성화 됨해당 Aspect는 호출을 가로채어 권한 부여 규칙이 충족되지 ..

CSRF (Cross-Site Request Forgery)웹 애플리케이션의 취약점을 악용해 사용자의 권한을 도용하여 악의적인 요청을 보내는 공격을 방지하기 위한 보안 기능Spring Security는 CSRF 공격을 방지하는 기본적인 메커니즘을 제공하며 CSRF 보호는 Spring Security를 사용하는 대부분의 애플리케이션에서 기본적으로 활성화되어 있음  CSRF 공격사용자가 자신도 모르게 공격자의 의도된 작업을 수행하게 만드는 공격 기법사용자의 의지와는 무관하게 공격자가 의도한 행동을 수행해서 웹 페이지의 보안을 취약하게 하거나 수정/삭제 등의 작업을 하는 공격 방법ex) Man in the Middle 공격을 통해 인증된 세션을 탈취하고 해당 세션을 기반으로 서버에 악성 요청을 보냄 Sprin..

HTTP 필터애플리케이션의 HTTP 요청이 처리되기 전에 다양한 보안 검사를 수행하여 인증 및 인가 등의 작업을 처리Spring Security는 다양한 필터들을 체인 형태로 연결하여 요청이 처리될 때 순차적으로 실행되도록 구성하며 각 필터는 특정 보안 작업을 수행하며, 그 결과를 다음 필터에 전달함전체 필터 체인은 SecurityFilterChain 인터페이스에 의해 관리됨기본 설정으로 되어 있는 필터와 커스텀하게 설정된 필터를 함께 사용하여 HTTP 요청을 필터링실무의 다양한 비즈니스 요구사항을 구현하기에는 기본 필터 구성만으로는 부족하기 때문에 커스텀하게 필터를 정의하는 케이스가 많음 필터 체인은 필터가 작동하는 순서가 정의된 필터의 모음을 나타내며 필터 구현체에는 각자의 순서가 존재함각 필터는 순..

개요Spring WebFlux는 SSE(Server-Sent Events)를 이용해 데이터를 Streaming 할 수 있습니다.SSE는 spring 4.2 버전부터 지원되었으며 Spring 5 버전부터 Reactor의 Publisher 타입인 Flux를 이용해 조금 더 편리한 방법으로 SSE를 사용할 수 있게 되었습니다. SSE서버가 클라이언트에게 단방향 스트리밍으로 데이터를 전송하는 방식WebSocket은 양방향 통신이 가능한 기술이지만 SSE는 단방향 클라이언트는 한 번 연결을 수립한 후 서버에서 발생하는 이벤트나 업데이트를 지속적으로 받아볼 수 있으며 주로 실시간 데이터 전송이 필요한 애플리케이션에서 사용됨SSE는 기존의 HTTP 프로토콜 위에서 동작하고 웹 브라우저에서 표준적으로 제공되며, tex..

WebClient비동기적이고 non-blocking 방식으로 HTTP 요청을 처리할 수 있는 클라이언트전통적인 Spring MVC의 RestTemplate의 대안으로 Spring 5부터 지원하는 non-blocking HTTP 요청을 위한 리액티브 웹 클라이언트로서 함수형 기반의 향상된 API 제공비동기적 호출 외에도 block() 메서드를 사용하여 동기적으로 데이터를 받을 수 있지만 WebFlux 환경에서는 가능한 비동기 방식으로 사용하는 것이 성능에 유리 WebFlux 환경에서의 고성능, 비동기적 애플리케이션 개발을 위해 설계됐으며 기본 HTTP 클라이언트 라이브러리는 Reactor NettyWebClient는 Mono와 Flux를 지원하여, 리액티브 스트림을 통해 데이터를 처리Mono는 하나의 요소..

1. 스프링 시큐리티 인증, 인가 흐름인증(Authentication)은 사용자가 누구인지 확인하는 과정인가(Authorization)는 그 사용자가 어떤 리소스에 접근할 수 있는지 결정하는 과정 1.1 인증 흐름클라이언트가 ID와 비밀번호와 같은 자격 증명을 입력하여 로그인 요청을 보내고 이는 Authentication 객체로 변환됨AuthenticationManager가 인증 요청을 처리하는데 AuthenticationManager는 여러 개의 AuthenticationProvider에게 인증 처리를 위임각각의 AuthenticaitonProvider는 DB 기반 인증, LDAP 기반 인증 등과 같은 특정 인증 방식에 대해 인증 시도기본적으로 DaoAuthenticaitonProvider가 많이 사..