'분류 전체보기' 카테고리의 글 목록 (4 Page)

경험

ICT 개발자 직무특강 후기 - 좋은 개발자가 되는 방법 (네이버 개발자 우상훈님)

2023.11.27

이번 학기에는 ICT 인턴을 진행하고 있는데 ICT 인턴들을 대상으로 직무 특강을 연다고 해서 다녀왔다! 오전에 출근했다가 강남으로 넘어갔더니 오후 반차를 쓴 기분이었다 ㅎㅅㅎ 역시 정부에서 지원하는거라 그런지 커피, 물, 과일, 과자, 젤리... 간식이 아주 넘쳐났다 🐷🐷 순서는 네이버-카카오-라인플러스 개발자 분 순서로 강연이 이루어졌다 나는 두세번째 강연을 백엔드-서버(데이터)로 선택해서 들었기 때문에 프론트나 인공지능 들으신 분들은 다른 강의를 들었을 수도! 특강 들은 내용을 한 번 정리해보려고 글을 쓴다 !! 사실 백엔드랑 서버 관련된 내용은 내가 좀 더 공부를 해야겠다고 느꼈어서 좋은 개발자가 되기 위해선 어떻게 해야될지 적어보려고 한다 ㅎㅎ 🌻 좋은 개발자가 되는 방법 - 우상훈님 (네이버)..

Spring

[Spring] Spring Security(스프링 시큐리티) 사용자 DB 등록 및 PasswordEncoder

2023.11.22

Form 인증 - PasswordEncoder 비밀번호를 안전하게 암호화하도록 제공 생성 PasswordEncoder passwordEncoder = PasswordEncoderFactories.createDelegatingPasswordEncoder() 여러 개의 PasswordEncoder 유형을 선언한 뒤, 상황에 맞게 선택해서 사용할 수 있도록 지원하는 Encoder이다. 암호화 포맷 {id}encodedPassword 기본 포맷은 Bcrypt : {bcrypt}$2a@10~~~ 알고리즘 종류 : bcrypt, noop, pbkdf2, scrypt, sha256 PasswordEncoder를 이용해 비밀번호 암호화를 한 뒤 사용자를 저장하고 싶다면! 아래와 같이 하면 된다. (하지만 아래는 강의를..

Spring

[Spring] Spring Security(스프링 시큐리티) CSRF, CsrfFilter - 로그아웃 예제

2023.11.20

공격의 위험성 해당 로직을 통해서 해커들이 공격을 한다. 사용자가 쇼핑몰에 로그인하고 나서 쿠키를 발급하면 사용자의 브라우저에 쿠키가 저장된다. 공격자가 링크를 이용자에게 전달하고 사용자는 링크를 클릭해서 공격용 웹페이지에 접속한다. 브라우저는 이미지 파일을 가져오기 위해서 공격용 url을 열고 쇼핑몰은 해당 쿠키를 가진 브라우저를 의심하지 않고 인증을 한다. 시큐리티는 이런 공격 방식을 방어하기 위해서 CsrfFilter를 만들어서 csrf의 취약점을 방지하고 있다. CsrfFilter 모든 요청에 랜덤 하게 생성된 토큰을 HTTP 파라미터로 요구 요청 시 전달되는 토큰 값과 서버에 저장된 실제 값과 비교한 후 만약 일치하지 않으면 요청은 실패함 HTTP 메소드 : PATCH, POST, PUT, DE..

Spring

[Spring] Spring Security(스프링 시큐리티) ExceptionTraslationFilter, RequestCacheAwareFilter

2023.11.15

🌱 예외 AuthenticationException 인증 예외 처리 AuthenticationEntryPoint 호출 로그인 페이지 이동, 401 오류 코드 전달 등 인증 예외가 발생하기 전의 요청 정보를 저장 RequestCache : 사용자 이전 요청 정보를 세션에 저장하고 이를 꺼내오는 캐시 메커니즘 SavedRequest : 사용자가 요청했던 request 파라미터 값들, 그 당시 헤더 값들 등이 저장 AccessDeniedExeption 인가 예외 처리 AccessDeniedHandler에서 예외 처리하도록 제공 👉 이런 예외는 FilterSecurityInterceptor에서 처리하고 이 필터 앞에 있는 필터가 ExceptionTranslationFilter임 그래서 예외가 발생하면 Filte..

기타

Unable to create '/.git/index.lock': File exists.

2023.11.13

커밋을 하려다가 해당 문구가 발생하면서 커밋이 되지 않는 문제가 있었다 이럴 경우에는 .git 파일이 존재하는 폴더에서 git bash를 실행한 다음에 아래 명령어를 입력하면 된다. rm -f ./.git/index.lock

Spring

[Spring] Spring Security(스프링 시큐리티) 권한설정과 표현식

2023.11.09

권한 설정 방식에는 선언적 방식과 동적 방식이 존재한다. 선언적 방식 URL http.antMatcher("/user/**).hasRole("USER") Method @PreAuthorize("hasRole('USER')") public void user() {System.out.println("user")} 동적 방식 - DB 연동 프로그래밍 방식 URL Method SecurityConfig @Override protected void configure(HttpSecurity http) throws Exception { http .antMatcher(“/shop/**”) .authorizeRequests() .antMatchers(“/shop/login”, “/shop/users/**”).permit..

Spring

[Spring] Spring Security(스프링 시큐리티) 동시 세션 제어, 세션 고정 보호, 세션 정책

2023.11.06

🎠 동시 세션 제어 동시 세션 제어는 현재 동일한 계정으로 인증을 받을 때 생성되는 세션의 허용 개수가 초과되었을 경우에 어떻게 그 세션을 계속적으로 초과하지 않고 세션을 유지하는지에 대한 제어를 말한다. 허용 브라우저 개수가 1개라고 가정할 경우에 (사용자 1, 2는 동일한 계정) 1.이전 사용자 세션 만료하는 방법 2. 현재 사용자 인증 실패 동시 세션 제어 API maximumSessions : 설정한 수만큼 최대 허용 가능 세션 수를 설정 maxSessionPreventsLogin : true로 설정하면 동시 로그인 차단함 -> 위에서 2번째 방법, false는 1번째 방법 invalidSessionUrl expireUrl 👉 밑에 두 개 다 설정하면 invalidSessionUrl이 우선순위가 ..

Spring

[Spring] Spring Security(스프링 시큐리티) 익명사용자 인증 : AnonymousAuthenticationFilter

2023.11.04

isAnonymous() : 로그인할 때 사용 isAuthenticated() : 로그아웃할 때 사용 스프링에서 재공하는 AnonymousAuthenticaitonFilter를 보면 @Override public void doFilter(ServletRequest req, ServletResponse res, FilterChain chain) throws IOException, ServletException { if (SecurityContextHolder.getContext().getAuthentication() == null) { Authentication authentication = createAuthentication((HttpServletRequest) req); SecurityContext ..

Spring

[Spring] Spring Security(스프링 시큐리티) Remember-Me 인증

2023.11.03

🎀 Remember-Me 세션이 만료되고 웹 브라우저가 종료된 후에도 애플리케이션이 사용자를 기억하는 기능이다. ➕ Remember-Me 쿠키에 대한 http요청을 확인한 후 토큰 기반 인증을 사용해 유효성을 검사하고 토큰이 검증되면 사용자는 로그인된다. 사용자 라이프 사이클 인증 성공 (Remember-Me 쿠키 설정) 인증 실패 (쿠키가 존재하면 쿠키 무효화) 로그아웃 (쿠키가 존재하면 쿠키 무효화) rememberMeParameter : 버튼 이름이랑 똑같이 해야 됨 alwaysRemember(true) : 로그인할 때 리멤버 미 사용 안 해도 활성화되어있음 userDetailsService는 필수 해당 설정을 하고 나서 서버를 실행시켜 보면 아래처럼 Remember me on this comput..

Spring

[Spring] Spring Security(스프링 시큐리티) Logout처리, LogoutFilter

2023.11.02

🌱 전체적인 로그아웃 로직 시큐리티를 통해 로그아웃을 하게 되면 세션 무효화 인증 토큰 삭제 삭제할 쿠키 정보가 있다면 삭제 로그인 페이지 리다이렉트 해당 작업을 수행하게 된다. 로그아웃 API logout : 로그아웃 기능 활성화 logoutUrl : 로그아웃 url 정보 전달 (form 태그에서 url 변경 가능) logoutSuccessUrl : 로그아웃 성공할 때 이동할 url deleteCookies : 쿠키를 발급했을 경우에 삭제가 필요한데 쿠키를 삭제함 remember-me 같은 경우는 나중에 로그인할 때 remember-me 인증이 있는데 서버에서 만든 쿠키를 삭제하는 것 logoutSuccessHandler : 로그아웃이 성공적으로 수행되고 후속 작업을 하는 핸들러 로그아웃 filter ..

티스토리툴바