무엇을 했는가?
프로젝트에 스프링 시큐리티를 이용한 보안 처리를 했다.
무엇을 배웠는가?
말 그대로 Spring Security (스프링 앱에서의 보안)에 대해서 배웠다.
스프링 시큐리티를 적용하면 기본으로 활성화되는 CSRF 에 대해 배웠다.
반복적으로 이루어지는 인증/인가 처리가 어떻게 이루어지는지 배웠다.
Spring 을 이용한 서블릿 앱에서는 주로 2가지 기술을 이용했다.
둘 다 서블릿 요청 메인 로직을 타기 전, 후에 로직을 넣기 용이했다. 다만, 실행 시점이 다르며 할 수 있는 일도 달랐다.
Filter 랑 Interceptor 를 알아보는 겸 AOP 까지 같이 한번 짧게 정리해보았다.
스프링의 메서드 시큐리티를 배워보았다.
어떤 감정을 느꼈는가? 그리고 어떤 생각을 했는가?
- 놀랐다. 정말 창의적인 방식으로 해킹을 한다는 생각을 했다.
- 해킹의 다양한 기법들을 공부해보며 원리를 꼭 알아야겠다는 생각을 했다.
- 다양한 해킹도 결국 하나의 원리를 기반으로 하였다.
CSRF 같은 경우는 내 생각에 2가지 핵심원리가 있다고 생각했다.
- 인증 정보를 가지고 있는 브라우저가 있다.
- 게시글, 댓글, 이메일 등 다양한 방식을 통해 스크립트를 심을 수 있었고, 보안 정보가 담긴 브라우저에서는 이러한 스크립트 하나하나가 치명적이다.
다짐
보안에 대해서 공부하는 것은 굉장히 시간 소비가 컸지만, 네트워크나 해킹과 같이 평소에 생각해볼 일이 없던 것들을 생각해보게 되었다. 한 번에 보안에 대한 모든 것을 공부하기엔, 공부량에 압도되고 주객이 전도될 것 같으니 관련 키워드가 등장할 때마다 보안 원리에 대해 조금씩 제대로 공부해보자.
코드 리뷰 지적 사항들
여러 줄의 주석은 javadoc 주석을 사용하자
주석의 괴리를 조심하자
주석도 팀원들끼리 같이 관리해보자!
풀스택 웹개발자로 일하고 있는 Jake Seo입니다. 주로 Jake Seo라는 닉네임을 많이 씁니다. 프론트엔드: Javascript, React 백엔드: Spring Framework에 관심이 있습니다.