![]()
이 글은 정수원님의 Infrean 강의를 학습한 내용을 정리하여 작성합니다. 사이트 간 요청 위조 - CSRF, CsrfFilter Form 인증 - CSRF (사이트 간 요청 위조) 사용자는 쇼핑몰에 인증 후 쿠키를 발급받는다. 공격자는 링크를 이용자에게 전달한다. 사용자는 공격자가 제공한 링크를 클릭해 공격용 웹페이지에 접속한다. 이미지 소스는 사용자가 접속한 쇼핑몰의 링크이다. 공격자주소가 추가로 존재한다. 사용자가 공격용 페이지를 열면, 브라우저는 이미지 파일을 받아오기 위해 공격용 URL을 연다. 사용자의 브라우저에는 인증 후 발급받은 쿠키가 존재한다. 사용자는 쿠키가 저장된 브라우저로 공격자가 제공한 링크를 클릭해 공격자주소로 요청한다. 쇼핑몰은 자신이 제공한 쿠키가 브라우저에 존재하는지 검사..
![]()
이 글은 정수원 님의 Infrean 강의를 학습한 내용을 정리하여 작성합니다. 예외 처리 및 요청 캐시 필터: ExceptionTranslationFilter, RequestCacheAwareFilter 인증/인가 API - ExceptionTranslationFilter AuthenticationException 인증 예외 처리 AuthenticationEntryPoint 호출 로그인 페이지 이동, 401 오류 코드 전달 등 인증 예외가 발생하기 전의 요청 정보를 저장 ReqeustCache - 사용자의 이전 요청 정보를 세션에 저장하고 이를 꺼내 오는 캐시 메카니즘 SavedRequest - 사용자가 요청했던 request 파라미터값들, 그 당시의 헤더값들 등이 저장 ex) 사용자가 특정 자원에 접근..
![]()
이 글은 정수원님의 Infrean 강의를 학습한 내용을 정리하여 작성합니다. 인가 API - 권한설정과 표현식 인가 API - 권한 설정 선언적 방식 URL http.antMatchers("/users/**).hasRole("USER") Method @PreAuthorize("hasRole('USER')") public void user() {System.out.println("user")} 동적 방식 - DB 연동 프로그래밍 URL Method 이번 글에서는 선언적 방식 중 URL 방식에 대해 학습한다. http.antMatcher("/shop/**") 과 같이 특정한 경로를 입력하면 사용자가 해당 경로를 요청하는 경우에만 설정 클래스의 보안 기능이 동작할 것이다. 만약 설정된 경로가 아닌 다른 경로로..
![]()
이 글은 정수원님의 Infrean 강의를 학습한 내용을 정리하여 작성합니다. 인증 API - SessionManagementFilter 1. 세션 관리 인증 시 사용자의 세션정보를 등록, 조회, 삭제 등의 세션 이력을 관리한다. 2. 동시적 세션 제어 동일 계정으로 접속이 허용되는 최대 세션 수를 제한한다. 3. 세션 고정 보호 인증 할 때마다 세션 쿠키를 새로 발급하여 공격자의 쿠키 조작을 방지한다. 4. 세션 생성 정책 Always If-Required Never Stateless 인증 API - ConcurrentSessionFilter SessionManagementFilter와 연계해 동시적 세션 제어를 처리한다. 매 요청 마다 현재 사용자의 세션 만료 여부를 체크한다. 세션이 만료되었을 경우 ..
