'Spring' 카테고리의 글 목록 (2 Page)

Spring

[Spring] Spring Security(스프링 시큐리티) ExceptionTraslationFilter, RequestCacheAwareFilter

2023.11.15

🌱 예외 AuthenticationException 인증 예외 처리 AuthenticationEntryPoint 호출 로그인 페이지 이동, 401 오류 코드 전달 등 인증 예외가 발생하기 전의 요청 정보를 저장 RequestCache : 사용자 이전 요청 정보를 세션에 저장하고 이를 꺼내오는 캐시 메커니즘 SavedRequest : 사용자가 요청했던 request 파라미터 값들, 그 당시 헤더 값들 등이 저장 AccessDeniedExeption 인가 예외 처리 AccessDeniedHandler에서 예외 처리하도록 제공 👉 이런 예외는 FilterSecurityInterceptor에서 처리하고 이 필터 앞에 있는 필터가 ExceptionTranslationFilter임 그래서 예외가 발생하면 Filte..

Spring

[Spring] Spring Security(스프링 시큐리티) 권한설정과 표현식

2023.11.09

권한 설정 방식에는 선언적 방식과 동적 방식이 존재한다. 선언적 방식 URL http.antMatcher("/user/**).hasRole("USER") Method @PreAuthorize("hasRole('USER')") public void user() {System.out.println("user")} 동적 방식 - DB 연동 프로그래밍 방식 URL Method SecurityConfig @Override protected void configure(HttpSecurity http) throws Exception { http .antMatcher(“/shop/**”) .authorizeRequests() .antMatchers(“/shop/login”, “/shop/users/**”).permit..

Spring

[Spring] Spring Security(스프링 시큐리티) 동시 세션 제어, 세션 고정 보호, 세션 정책

2023.11.06

🎠 동시 세션 제어 동시 세션 제어는 현재 동일한 계정으로 인증을 받을 때 생성되는 세션의 허용 개수가 초과되었을 경우에 어떻게 그 세션을 계속적으로 초과하지 않고 세션을 유지하는지에 대한 제어를 말한다. 허용 브라우저 개수가 1개라고 가정할 경우에 (사용자 1, 2는 동일한 계정) 1.이전 사용자 세션 만료하는 방법 2. 현재 사용자 인증 실패 동시 세션 제어 API maximumSessions : 설정한 수만큼 최대 허용 가능 세션 수를 설정 maxSessionPreventsLogin : true로 설정하면 동시 로그인 차단함 -> 위에서 2번째 방법, false는 1번째 방법 invalidSessionUrl expireUrl 👉 밑에 두 개 다 설정하면 invalidSessionUrl이 우선순위가 ..

Spring

[Spring] Spring Security(스프링 시큐리티) 익명사용자 인증 : AnonymousAuthenticationFilter

2023.11.04

isAnonymous() : 로그인할 때 사용 isAuthenticated() : 로그아웃할 때 사용 스프링에서 재공하는 AnonymousAuthenticaitonFilter를 보면 @Override public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException { if (SecurityContextHolder.getContext().getAuthentication() == null) { Authentication authentication = createAuthentication((HttpServletRequest) req); SecurityContext ..

Spring

[Spring] Spring Security(스프링 시큐리티) Remember-Me 인증

2023.11.03

🎀 Remember-Me 세션이 만료되고 웹 브라우저가 종료된 후에도 애플리케이션이 사용자를 기억하는 기능이다. ➕ Remember-Me 쿠키에 대한 http요청을 확인한 후 토큰 기반 인증을 사용해 유효성을 검사하고 토큰이 검증되면 사용자는 로그인된다. 사용자 라이프 사이클 인증 성공 (Remember-Me 쿠키 설정) 인증 실패 (쿠키가 존재하면 쿠키 무효화) 로그아웃 (쿠키가 존재하면 쿠키 무효화) rememberMeParameter : 버튼 이름이랑 똑같이 해야 됨 alwaysRemember(true) : 로그인할 때 리멤버 미 사용 안 해도 활성화되어있음 userDetailsService는 필수 해당 설정을 하고 나서 서버를 실행시켜 보면 아래처럼 Remember me on this comput..

Spring

[Spring] Spring Security(스프링 시큐리티) Logout처리, LogoutFilter

2023.11.02

🌱 전체적인 로그아웃 로직 시큐리티를 통해 로그아웃을 하게 되면 세션 무효화 인증 토큰 삭제 삭제할 쿠키 정보가 있다면 삭제 로그인 페이지 리다이렉트 해당 작업을 수행하게 된다. 로그아웃 API logout : 로그아웃 기능 활성화 logoutUrl : 로그아웃 url 정보 전달 (form 태그에서 url 변경 가능) logoutSuccessUrl : 로그아웃 성공할 때 이동할 url deleteCookies : 쿠키를 발급했을 경우에 삭제가 필요한데 쿠키를 삭제함 remember-me 같은 경우는 나중에 로그인할 때 remember-me 인증이 있는데 서버에서 만든 쿠키를 삭제하는 것 logoutSuccessHandler : 로그아웃이 성공적으로 수행되고 후속 작업을 하는 핸들러 로그아웃 filter ..

Spring

[Spring] Spring Security(스프링 시큐리티) Form Login 인증

2023.11.01

🌱 스프링 시큐리티가 기본적으로 제공하는 로그인 로직 form을 통해서 아이디와 비밀번호를 입력하면 세션 및 인증 토큰을 저장한다. 추후에는 해당 인증을 통해서 작업 가능하다. 로그인 API 여기서 덧붙여서 설명하면 loginProcessingUrl : form 태그에 있는 action url , 타임리프 쓰면 th:action successHandler : 성공했을 때 내가 추가적으로 제어할 수 있는 핸들러 failureHandler : 실패했을 때 내가 추가적으로 제어할 수 있는 핸들러 👉 successUrl이란 failureUrl이랑 비슷하다는 생각을 할 수도 있겠지만 앞에 두 개는 url설정밖에 하지 못한다. Controller @GetMapping("/loginPage") public Strin..

Spring

[Spring] Spring Security(스프링 시큐리티) 기초 개념

2023.10.31

강의들으면서 배운 것들을 간단하게라도 남겨보려고 한다! 🐥 Spring Security(스프링 시큐리티)란? Spring 기반의 애플리케이션 보안을 담당하는 Spring 하위 프레임워크이다. springboot에 spring security를 사용하기 위해서는 아래 의존성을 추가해줘야한다. implementation 'org.springframework.boot:spring-boot-starter-security' 스프링 시큐리티의 의존성을 추가하면 일어나는 것은? 서버가 가동되면 스프링 시큐리티의 초기화 작업 및 보안 설정이 이루어짐 별도의 설정이나 구현을 하지 않아도 기본적인 웹 보안 기능이 현재 시스템에 연동돼 작동 모든 요청은 인증이 되어야 자원에 접근이 가능 인증 방식은 Form 로그인 방식과 ..

Spring

[Spring] Dirty Checking(더티 체킹) 이란?

2023.10.27

코드를 작성하다가 repository.save()를 하지 않아도 update 쿼리가 실행되어 DB에 반영되는 현상을 보고 Dirty Checking에 대해서 알아보았다 🤔 ⚙️ Dirty Checking이란? Spring JPA에서 더티 체킹이란 영속성 컨테이너가 관리하는 엔티티의 상태를 감지해서 변경된 부분이 있다면 자동으로 트랜잭션이 끝나는 시점에 데이터베이스에 반영하는 기능이다. dirty : 변경된 엔티티 데이터 dirty checking : 변경된 부분 감지 Dirty Checking은 언제 일어날까? 영속성 컨텍스트에서 관리되는 엔티티 준영속/비영속 상태의 엔티티는 더티 체킹의 대상이 되지 않는다. Transaction(트랜잭션)이 커밋되었을 때 트랜잭션이 커밋되기 전까지 영속성 컨텍스트는 변..

Spring

[Spring] Service, ServiceImpl 구조

2023.06.30

Service와 ServiceImpl을 분리해서 사용해 본 적이 없는데 이런 경우를 많이 봐서 한 번 조사해 봤다✍️ 인터페이스와 구현체를 따로 두는 건 OCP(개방-폐쇄 원칙) 때문이다. 🔸 OCP란? 소프트웨어 개채는 확장에 대해 열려있어야 하고, 수정에 대해서는 닫혀있어야 한다는 프로그래밍 원칙이다. 이 원칙이 잘 적용되면, 기능을 추가하거나 변겨해야 할 때 이미 제대로 동작하고 있던 코드를 변경하지 않아도 기존의 코드에 새로운 코드를 추가함으로써 기능의 추가나 변경이 가능하다. 🔸 Service와 ServiceImpl sevice를 먼저 정의하고, serviceimpl이 service 인터페이스를 상속받아서 구현하는 것이다. Controller에서는 service를 호출한다!! 프로젝트에서도 적용..

티스토리툴바