공부/Spring Security

가. SuccessHandler a. 인증 성공하면 어디로? - 이전 포스팅에서 JWT 구조까지 살펴보았다. 이번에는 JWT Filter를 추가해보려고 하는데 한가지 확인해야 하는 부분이 있다. - 로그인이 성공하면 '/' 로 리다이렉트 되는 부분을 확인했었는데 이부분이 어떤 클래스가 담담하는지 먼저 확인해보자 - 길어지는 부분이 있어 중간 클래스는 생략을 했지만 중요한부분은 SuccessHandler가 리다이렉트 처리를 하는 걸 볼 수 있다. - 여기서 JWT 방식으로 하기 위해서는 리다이렉트가 아닌 로그인이 성공할 경우 SuccessHandler가 Token값을 반환 해주어야한다. b. Custom SuccessHandler - rememberMe 처리나 requestCache 까지하면 복잡해질 수 ..

가. JWT a. 무엇인가? - JSON Web Token 의 약자로 토큰을 통해 서버에 대한 엑세스를 관리하는 방법 중 하나이다. - HTTP 모든 요청에 이 JWT를 포함하여 서버로 전달하며 서버는 이 JWT를 통해 인증된 사용자(+정보)인지 확인하는 방법이다. b. 구조 - 암호화된 헤더.페이로드.서명 형태로 구성 되어있고 이 https://jwt.io/ 사이트에서 테스트 해볼 수 있다. JWT.IO JSON Web Tokens are an open, industry standard RFC 7519 method for representing claims securely between two parties. jwt.io - 위의 사이트에서 한번 만들어 보면 아래와 같은 구조로 만들 수가 있다. - 여..

가. Custom AuthenticationFilter 만들기 a. JSON 처리는 어떻게? - 이전 포스팅에서 UsernamePasswordAuthenticationFilter 를 그대로 사용하여 커스텀 API 로그인을 만들어 보았다. - 한가지 문제점은 JSON 형태로 처리가 되지않기 때문에 그대로 사용하기에는 아쉽기 때문에 AuthenticationFilter를 만들어 보았다. b. AbstractAuthenticationProcessingFilter - 이 클래스는 UsernamePasswordAuthenticationFilter 의 super 클래스로 이 Filter를 상속받아 만들면 간단하게 구현할 수 있다. public class JsonIdPwAuthenticationFilter exten..

가. UsernamePasswordAuthenticationFilter a. 인증 처리 필터 - 이전 포스팅에서 HttpSecurity의 .formLogin 메서드를 추가할때 UsernamePasswordAuthenticationFilter가 추가되는 것을 알 수 있었다. - 인증처리가 어떻게 이루어지는지 이 UsernamePasswordAuthenticationFilter 를 먼저 살펴보고 분석 & 테스트 해보았다. b. 추가해보기 @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Except..

가. FormLogin a. 로그인 - 아마 처음배울때 가장 많이 접해보는 메서드가 아닐까 생각이 든다. - 메서드이름만 봐도 알 수 있듯이 로그인폼 페이지를 통해 로그인 할 수 있도록 설정하는 기능이다. - 예전엔 그렇구나 하고 넘어갔던 부분인데 어떤 Filter가 추가되고 어떤 작업이 진행되어지는지 궁금해졌다. b. 추가되는 Filters - .formLogin인도 역시 configurer가 추가 되는 형태로 구성되어있다. FormLoginConfigurer의 내부를 살펴보면 - UsernamePasswordAuthenticationFilter를 생성하는 것이 보인다. 이 Filter는 .configure 메서드를 호출할때 추가된다. (이전글 참조) => FromLoginConfigurer가 상속한 ..

가. HttpSecurity a. filters @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.formLogin(); } } - 보통 Spring Security를 사용할때 위처럼 HttpSecurity의 메서드를 이용하여 원하는 기능의 Filter를 추가한다. - 위의 코드를 보면 이전글에서 보았던 Filter들 역시 HttpSecurity의 메서드를 이용했다는 것을 볼 수 있다. - 그러면 어떻게 설정들이 어떻게 필터로 추가가 되는지 궁금해져서 한번 따라가 ..

가. WebAsyncManagerIntegrationFilter a. 비동기 처리할때 SecurityContext - WebAsyncManager는 request에 대한 비동기 Thread들을 중앙 관리하는 역할을 한다. - WebAsyncManagerIntegrationFilter는 SecurityContext를 WebAsyncManager와 통합한다. - 즉 비동기 처리시 파생되는 Thread들에서도 SecurityContext에 접근할 수 있도록 해준다. => ThreadLocal의 SecurityContext를 통합관리 나. SecurityContextPersistenceFilter a. Context연결하기 - SecurityContextHolder는 주어진 SecurityContext를 현재 ..

가. Add Filter a. 필터를 추가해보자 - 커스텀한 보안 필터를 추가 하고 싶은 경우가 있을 수 있다. 간단하게 추가해보자 @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.addFilter(new TestFilter()); } } public class TestFilter implements Filter { @Override public void doFilter(ServletRequest servletRequest, //생략) ServletExceptio..

출처 : https://inf.run/4Vam 스프링 시큐리티 - Spring Boot 기반으로 개발하는 Spring Security - 인프런 | 강의 초급에서 중.고급에 이르기까지 스프링 시큐리티의 기본 개념부터 API 사용법과 내부 아키텍처를 학습하게 되고 이를 바탕으로 실전 프로젝트를 완성해 나감으로써 스프링 시큐리티의 인증과 www.inflearn.com 가. 인증 flow a. AuthenticationFilter - 사용자의 로그인 요청에 대해 Authentication(Token)을 생성 b. AuthenticationManger - 인증의 전반적인 관리를 진행(실제 인증 처리는 하지 않고 AuthenticationProvider로 위임) => AuthenticationProvider 목록..

출처 : https://inf.run/4Vam 스프링 시큐리티 - Spring Boot 기반으로 개발하는 Spring Security - 인프런 | 강의 초급에서 중.고급에 이르기까지 스프링 시큐리티의 기본 개념부터 API 사용법과 내부 아키텍처를 학습하게 되고 이를 바탕으로 실전 프로젝트를 완성해 나감으로써 스프링 시큐리티의 인증과 www.inflearn.com 가. DelegatingFilterProxy a. Security는 어떻게 Filter 기반으로 동작할 수 있을까? - Security는 Servlet Filter 기반으로 Client의 요청을 전처리, 후처리를 통해 보안을 구현한다. - 하지만 Servlet 필터에 Spring Bean 주입하는 것은 불가능 하다. => Spring Bean은..

출처 : https://inf.run/4Vam 스프링 시큐리티 - Spring Boot 기반으로 개발하는 Spring Security - 인프런 | 강의 초급에서 중.고급에 이르기까지 스프링 시큐리티의 기본 개념부터 API 사용법과 내부 아키텍처를 학습하게 되고 이를 바탕으로 실전 프로젝트를 완성해 나감으로써 스프링 시큐리티의 인증과 www.inflearn.com 가. 설정 클래스 a. Config 설정 - starter-security dependency를 추가하면 자동으로 security 설정이 이루어진다. => 원하는 보안기능을 사용하기 위해서는 설정 클래스 추가해서 사용해야한다. - 이때 WebSecurityConfigurerAdapter 를 상속받아서 구현한다. => 해당 클래스는 웹 보안기능 ..

https://docs.spring.io/spring-security/site/docs/current/reference/html5/ Spring Security Reference In Spring Security 3.0, the codebase was sub-divided into separate jars which more clearly separate different functionality areas and third-party dependencies. If you use Maven to build your project, these are the modules you should add to your pom.xml. Ev docs.spring.io 가. 무엇인가 a. 서버 보안?! - 스프링 시..