implements Filter 를 하면, 필터가 된다.만약 이걸 시큐리티 필터에 등록하고 싶다면, 이렇게 해주는 것으로만은 의미가 없다. 필터에 따로 등록을 해주어야함.시큐리티 필터나,그냥 필터에클래스 하나 생성해서 @Configuration 하여 메모리에 뜨도록 하
http.sessionManagement() // 세션 관리 기능이 작동함sessionCreationPolicy.Always : 스프링 시큐리티가 항상 세션 생성sessionCreationPolicy.If_Required : 기본값. 스프링 시큐리티가 필요시 생성ses
인증 방식은 다양하다.사용자명(principle)과 비밀번호(credential)로 인증하는 “크리덴셜 기반 인증방식”OTP 와 같이 추가적인 인증 방식을 도입해 한번에 2가지 방법으로 인증하는 “이중 인증방식”소셜 미디어를 사용해 편리하게 인증하는 “OAuth2 인증
본 포스트는 도서 처음 배우는 스프링 부트 2 의 5장 OAuth 인증 파트를 읽고 이해한 내용을 정리하였습니다.OAuth?OAuth 는 토큰을 사용하여 인증하는 표준 인증 프로토콜이다.OAuth2 는 OAuth 프로토콜의 버전 2이며, OAuth2에서 제공하는 승인타
스프링 시큐리티와 OAuth2 적용 흐름도는 위와 같다.사용자가 애플리케이션에 접속하면, 해당 사용자에 대한 이전 로그인 정보(세션)의 유무를 체크한다.세션이 있으면 그대로 세션을 사용하고, 없으면 OAuth2 인증 과정을 거치게 된다.이메일을 키값으로 사용하여 이미
스프링 시큐리티의 핵심은 "Cumstomizing" 이다.인증과 인가의 차이스프링 시큐리티를 설정하기 전에는 사용자 -> 컨트롤러로 요청이 넘어가지만, 스프링 시큐리티를 설정하게 되면 여러 인증,인가 필터들이 추가된다.jwt 토큰을 사용하려면 httpBasic 과 fo
일반적으로 모바일 애플리케이션과 백엔드 간 인증은 JWT 토큰을 이용하여 수행한다.아이디와 비밀번호를 이용하여 로그인 성공시, 서버에서는 jwt 토큰을 생성하여 응답으로 보낸다. 이렇게 로그인 성공 후에 서버로부터 전달받은 jwt 를 앱에서 보관하고, 이후 권한이 필요
URL 방식 ✅ 먼저 이 방식을 사용해보자 http.antMatchers("/users/\*\*").hasRole("USER")Method 방식 @PreAuthorize("hasRole('USER')") public void user() {System.out.pr
이같은 불상사를 방지하기 위해 스프링시큐리티는 Csrf 필터로 csrf 취약점을 방지한다.모든 요청에 랜덤하게 생성된 토큰을 HTTP 파라미터로 요구요청 시 전달되는 토큰값과 서버에 저장된 실제 값과 비교한 후 일치하지 않으면 요청은 실패한다.clientHTTP 메소드