![]()
이 글은 정수원 님의 Infrean 강의를 학습한 내용을 정리하여 작성합니다. 예외 처리 및 요청 캐시 필터: ExceptionTranslationFilter, RequestCacheAwareFilter 인증/인가 API - ExceptionTranslationFilter AuthenticationException 인증 예외 처리 AuthenticationEntryPoint 호출 로그인 페이지 이동, 401 오류 코드 전달 등 인증 예외가 발생하기 전의 요청 정보를 저장 ReqeustCache - 사용자의 이전 요청 정보를 세션에 저장하고 이를 꺼내 오는 캐시 메카니즘 SavedRequest - 사용자가 요청했던 request 파라미터값들, 그 당시의 헤더값들 등이 저장 ex) 사용자가 특정 자원에 접근..
![]()
이 글은 정수원님의 Infrean 강의를 학습한 내용을 정리하여 작성합니다. 인가 API - 권한설정과 표현식 인가 API - 권한 설정 선언적 방식 URL http.antMatchers("/users/**).hasRole("USER") Method @PreAuthorize("hasRole('USER')") public void user() {System.out.println("user")} 동적 방식 - DB 연동 프로그래밍 URL Method 이번 글에서는 선언적 방식 중 URL 방식에 대해 학습한다. http.antMatcher("/shop/**") 과 같이 특정한 경로를 입력하면 사용자가 해당 경로를 요청하는 경우에만 설정 클래스의 보안 기능이 동작할 것이다. 만약 설정된 경로가 아닌 다른 경로로..
![]()
이 글은 정수원님의 Infrean 강의를 학습한 내용을 정리하여 작성합니다. 인증 API - SessionManagementFilter 1. 세션 관리 인증 시 사용자의 세션정보를 등록, 조회, 삭제 등의 세션 이력을 관리한다. 2. 동시적 세션 제어 동일 계정으로 접속이 허용되는 최대 세션 수를 제한한다. 3. 세션 고정 보호 인증 할 때마다 세션 쿠키를 새로 발급하여 공격자의 쿠키 조작을 방지한다. 4. 세션 생성 정책 Always If-Required Never Stateless 인증 API - ConcurrentSessionFilter SessionManagementFilter와 연계해 동시적 세션 제어를 처리한다. 매 요청 마다 현재 사용자의 세션 만료 여부를 체크한다. 세션이 만료되었을 경우 ..
![]()
이 글은 정수원님의 Infrean 강의를 학습한 내용을 정리하여 작성합니다. 인증 API - 동시 세션 제어 동시 세션 제어 동일한 계정으로 인증을 받을 경우 생성되는 세션의 허용 개수가 초과되었을 때 제어하는 방법을 의미한다. 두 가지 전략 이전 사용자 세션 만료 현재 사용자 인증 실패 동일한 계정으로 생성할 수 있는 세션의 허용 개수를 한 개라 가정한다. 사용자1과 사용자2는 서로 동일한 계정으로 로그인한다고 가정한다. (세션 2개: 최대 세션 허용 개수 초과) 이전 사용자 세션 만료 이전 사용자 (사용자1)가 링크로 접속해 접근할 때 세션을 만료시킨다. 최대 세션 허용 개수 1개를 유지한다. 현재 사용자 인증 실패 동일한 계정으로 이미 사용자1이 세션을 유지 중이므로 사용자2는 인증 예외가 발생한다..
