Spring Security

인증 ( Authentication ) : 。사용자의 신원을 증명하는 과정 ( ex. ID/PW 로그인 , JWT 등 ) ▶ 사용자의 로그인 정보를 받아서 ID정보가 일치하는지 확인하는 과정. Multiple Authentication : 복수의 인증이 존재하는경우▶G

。Filter ▶ JwtFilter를 주로 사용 >Spring Security 。Spring 생태계의 REST API와 Web Application의 보안(인증: Authentication / 인가: Authorization 등)을 제공하는 Spring Fr

Encoding :。데이터를 특정 Data type으로 변환하는 과정. ▶ 주로 미디어 데이터를 압축 및 Streaming하거나, Text 데이터를 안전하게 전송하거나 저장할 수 있도록 Data type을 Binary로 변경할 때 사용. 。Encoding은

SecurityContextHolder / SecurityContext / Authentication 관계 。Authentication $\\in$ SecurityContext $\\in$ SecurityContextHolderSecurityContextHolder :

AuthenticationManager 。Spring Security에서 HTTP Request로 전달되는 사용자 인증( Authentication )의 검증을 담당하는 인터페이스 。AuthenticationProvider들을 등록 및 관리하는 역할을 수

UserDetailsService : 。Spring Security에서 인증 / 인가 작업을 수행 시 인증정보를 포함하는 UserDetails의 조회를 위해 DB에 저장된 사용자정보를 UserDetails 객체로서 조회하여 제공하는 Core Interface 。 AutheticationProvider에 의해 호출되어 DB에서 저장된 사용...

커스텀한 UserDetails 구현체를 생성。 각 어플리케이션의 현재 로그인한 유저의 정보를 정의하는 역할의 UserDetails 구현체를 정의 。Controller의 @AuthenticationPrincipal을 통해 해당 UserDetail 구현체에 현재 로그인중인

@EnableMethodSecurity : Method Security。Spring Security 6에서 Method Security를 활성화하는 어노테이션 ▶ 주로 @Configuration에 선언하여 개별 Method에 대해 Method Secur

Spring Security의 인증방식 。HttpSecurity객체를 이용하여 Spring Security를 설정formLogin() : HttpSecurity객체.formLogin() : 세션기반 로그인 기능 활성화 。Spring Sec

WebSecurityConfiguration : 。Spring Security의 웹 보안에 설정을 담당하는 @Configuration Class 。Authentication , Authorization , CSRF Protection 등

토큰 ( token ) 。Client-side에서 인증정보를 보관하는 방법. ▶ 서버가 아닌, 인증정보를 client-side에 암호화하여 저장. 。서버에서 토큰의 발급만 수행하고

JWT 발급 절차JWT 생성 。사용자 자격증명 ( Credential ) , 사용자 데이터 ( payload ) , RSA 키쌍을 인코딩하여 JWT 생성. JWT를 HTTP Request의 Authentication Header의 일부로서 전송.

Nimbus JOSE+JWT Library : 。OAuth2.0 Resource Server dependency를 추가할 경우 자동으로 같이 추가됨. 。Java에서 JWT, JWK , JWE( JSON Web Encryption ) , JWS ( JSON We

JWK ( JSON Web Key ) 。Public Key 정보를 JSON Format으로 표현한 데이터구조. ▶ JWT Signature의 검증을 수행하기 위해서 Public Key가 필요하므로 주로 RSA방식의 JWT의 Signature를

Web Security Configuration 설정 。Web Security Configuration 。로그인 시 사용하는 API에 대해 Spring Security에 의해 인증에 대한 검증을 수행하지 않도록 설정 private static final String[

PasswordEncoder : 。입력된 비밀번호 문자열에 단방향 인코딩 ( Hashing 알고리즘 : scrypt, bcrypt, argon2, ... )을 적용하여 Hashing을 수행하는 기능을 상속하는 Spring Security의 인터페이스 ▶ Pas

Filter : 。Spring으로 수신된 모든 요청 및 내부에서 forward되는 요청을 검증하는 역할을 수행。이미 Dispatcher Servlet에서 수신되면서 Filter에 의해 이미 검증된 Request를 내부 다른 요소에 forward되면서 Filter를 매번

SecurityFilterChain : import org.springframework.security.web.SecurityFilterChain; 。Spring Security에서 제공하는 보안 filter 모음 역할의 Interface. ( Authenti

클라이언트가 전송한 JWT를 수신한 서버에서 발급여부에 대한 검증 기능을 구현Spring Security - Filter。Filter 인터페이스를 구현하여 어플리케이션의 Filter Chain에 포함되도록 설정

전체 과정클라이언트가 로그인 시 JWT Token을 발급하는 경우 서버는 Redis에 Refresh Token을 저장。end point : /auth/refresh사전 설정redis 설치Spring 설정 。spring: datasource: hikari: maximum

Form-based Login 。HTML의 태그를 기반으로 동작하는 로그인 방식 ▶ Spring Security 사용 시 기본적으로 세션 기반 로그인 페이지가 도출 。Form-base Login 방식으로 로그인하는 경우 Cookie로 JSESSONID라는 이름으로

ID / PW 기반의 로그인 로직을 통해 Security Context Holder에 저장되는 과정Authentication Manager, Authentication Provider, UserDetailsService, UserDetails 1\. 로그

정보보안 3요소 (CIA) : 。기밀성 : Confidentiality / 무결성 : Integrity / 가용성 : Availabilty ▶ 정보보안은 CIA를 준수해야한다. >- 기밀성 : 정보를 볼 수 있는 권한을 가진 사람만 볼 수 있게한다. >-

CSRF( 사용자 간 요청 위조 : Cross Site Request Forgery ) 。사용자 의도와는 무관하게 의도치않은 위조된 HTTP Request를 전송하는 것▶ 악성사이트가 중간에 사용자 요청을 위조해서 대상 사이트에 전송하면서 공격하는 방법위조된 사이트

Cross-Origin Request : 。특정 Origin에서 다른 Origin으로 HTTP Request를 전송하는것을 의미. >- 출처 : (Origin) : 。웹브라우저에서 Origin은 프로토콜 + 도메인 + 포트번

세션 기반의 로그인 로직 수행 및 인증 정보가 Security Context Holder에 저장되는 과정Authentication Manager, Authentication Provider, UserDetailsService, UserDetails, Securit

CORS 관련 Spring Security 흐름 > >- 필터 레벨 CORS 설정 : WAS에서 요청 수신 시 필터체인에 의해 CORS 처리 활성화 및 검증 수행 >- Spring MVC 레벨 CORS 설정 : Dispatcher Servlet 이후 WebMvcCon