Spring Security deals with
스프링 시큐리티는 오직 어필리케이션 level에서의 보안만을 핸들링한다.
위 말은 SQL Injection이나 DDOS 같은 부분들은 Spring Security가 처리하지 못한다는 의미
이기도 하다.
위 그림은 spring io 사이트에서 spring security를 추가시키고 싶을 경우 gradle 파일의
기본 설정 부분을 담은 내용이다. 각자의 dependecies 상황에 맞게끔 위 내용 중 추가 할 부
분을 추가해주면 된다.
dependencies에 spring security를 추가시키고 Postman으로 그냥 요청을 보내면 Spring
Security로 인해 401 에러로 인증불허 응답을 받는 것을 볼 수 있다. 알맞는 아이디와 비밀번호
를 입력해야지만 spring security가 해당 url로의 요청을 허용해준다.
재미있는 부분은 요청이 불허됐을 때에 spring security는 허가하지 않는다는 의미의 쿠키를
보내주는데 그에 따른 아이디와 값을 Postman의 Headers 부문에서 확인할 수 있다.
위와는 다르게 Postman으로 적절한 아이디와 비밀번호를 입력해서 해당 url로 요청을 보낼 경우
서버로부터 200 OK 싸인의 응답을 받고 그에 따른 새로운 쿠키 아이디와 값을 발급 받는다.
이 때 발급받는 쿠키 속 KEY를 살펴보면 JSESSIONID라고 되어 있는데 이것이 session ID이다.
즉 해당 session id와 그에 따른 키 값이 있으면 해당 어플리케이션으로 적절한 response를 받을
수 있는 것이다.
한 번 로그인하면 매번 request를 보냈을 때 쿠키안에 세션아이디와 값이 있으므로 적절한 response
를 받을 수 있다.
사용자를 기억하기 위한 쿠키와 세션에 대한 링크 참고
