본문 바로가기

코딩하는 백구

Contact

bjy1530@naver.com

Recent Posts

Popular Posts

Recent Comments

Link

Calendar

Tags

더보기

Archives

Visits

Today

Yesterday

스프링 시큐리티

카테고리 없음 2022. 12. 30. [스프링 시큐리티] 기본 API & Filter 이해(8) 세션 고정 보호 1) 세션 고정 공격 공격자가 서버에 접속한다. 서버는 공격자에게 jsessionid 를 발급한다. 공격자는 이 jsessionid 쿠키를 사용자에게 심어 놓는다. 사용자는 이 쿠키로 로그인을 시도하고 로그인을 성공한다. (서버에 세션 생성됨) 서버는 사용자, 공격자 둘 다 동일한 계정으로 판단한다. 즉, 공격자 쿠키 값으로 인증되어 있기 때문에 공격자는 동일한 쿠키를 통해 서버에 접근하여 사용자 정보를 공유 받는다. 스프링 시큐리티는 이 공격을 보호하기 위해서 세션 고정 보호 기능을 제공한다. 사용자가 공격자의 쿠키를 사용하여 인증을 받더라도 인증 마다 새로운 세션이 생성되고 새로운 쿠키도 생성된다. 따라서 공격자가 서버에 접근하더라도 세션 아이디가 틀리기 때문에 사용자 정보를 알 수 없다. prote..

카테고리 없음 2022. 12. 30. [스프링 시큐리티] 기본 API & Filter 이해(7) 동시 세션 제어 동일한 계정으로 인증을 받을 때 생성되는 세션의 허용 개수가 초과되었을 경우에 어떻게 세션을 초과하지 않고 계속 유지할 수 있을 지에 대한 제어이다. 스프링 시큐리티에서는 2가지 정책을 제공한다. 가정 : 최대 세션 허용 개수(1개)를 초과했다. 이전 사용자의 세션을 만료 시킨다. 사용자 1이 로그인하면 사용자 1의 세션이 서버에 생성된다. 사용자 2가 로그인하면 사용자 2의 세션이 서버에 생성된다. 그럼 서버에는 동일한 계정으로 2개의 세션이 생성된다. → 최대 세션 허용 개수(1개)를 초과했다. 전략에 따르면, 사용자 2가 로그인하여 세션이 생성이 되면 이전 사용자의 세션을 만료시킨다. 사용자 1이 다른 자원에 접근하려고 하면 세션이 만료되었기 때문에 사용자 1의 세션을 실제로 만료시켜 최대 세션 개..

카테고리 없음 2022. 12. 30. [스프링 시큐리티] 기본 API & Filter 이해(5) Remember Me 인증 Remember me 옵션을 활성화하면 스프링 시큐리티가 다음 기능을 제공한다. 세션이 만료되고 웹 브라우저가 종료된 후에도 어플리케이션이 사용자를 기억하는 기능이다. JSESSIONID 쿠키가 없더라도 리멤버미 쿠키가 있다면 인증된 상태로 처리된다. 리멤버 미 쿠키에 대한 http 요청을 확인한 후 토큰 기반 인증을 사용해 유효성을 검사하고 토큰이 검증되면 사용자는 로그인 된다. 사용자 라이프 사이클 인증 성공하면, 해당 사용자에게 리멤버미 쿠키가 발급된다. 인증 실패하면, 리멤버미 쿠키가 존재한다면 쿠키를 무효화한다. 로그아웃할 때도, 리멤버미 쿠키가 존재한다면 쿠키를 무효화한다. http.rememberMe() .rememberMeParameter("remember") // 기본 파라미터 명 rem..

카테고리 없음 2022. 12. 30. [스프링 시큐리티] 기본 API & Filter 이해(4) LogoutFilter 로그아웃 요청을 보냄 Spring Security 가 다음 작업을 진행한다. 세션을 무효화 인증 토큰을 삭제 - SecurityContext 쿠키 정보 삭제 로그인 페이지로 리다이렉트 처리 http.logout() // 로그아웃 기능이 작동 .logoutUrl("/logout") // UI .logoutSuccessUrl("/login") // 로그아웃 성공 후 이동 페이지 .deleteCookies("JSESSIONID", "remember-me") // 로그아웃 후 삭제할 쿠키 설정 // 로그아웃이 수행될 때, 세션 무효화/인증 토큰 삭제 등을 기본적으로 제공하지만 사용자 정의로 작업할 내용이 있을 경우 설정 .addLogoutHandler(new LogoutHandler() { @Override p..

카테고리 없음 2022. 12. 30. [스프링 시큐리티] 기본 API & Filter 이해(2) 폼 인증방식 🌿 폼 인증 방식 프로세스 서버 자원은 인증된 사용자만 사용할 수 있기 때문에 인증이 안되면 로그인 페이지로 리다이렉트 된다. username&password 를 입력하여 다시 인증을 시도한다. Spring Security 가 세션 ID 를 생성하고 이 세션에 인증 결과, 내용을 담은 토큰을 생성, 저장한다. Authentication 객체에 저장한다. 인증을 받은 이후 다시 서버 자원에 접근을 시도하면 Spring Security 가 현재 사용자가 가진 세션으로 부터 인증 토큰의 존재 여부를 판단한다. 사용자는 해당 세션으로 계속 자원에 접근하게 된다. 폼 로그인 인증 API http.formLogin() .loginPage("/lgoinPage") // 사용자 정의 로그인 페이지 .defaultSuc..

카테고리 없음 2022. 12. 30. [스프링 시큐리티] 기본 API & Filter 이해(1) 의존성 추가, 사용자 정의 보안 기능 의존성 추가 Spring Security 의존성을 추가하면 다음 작업이 수행된다. 서버가 기동 되면서 Spring Security 의 초기화 작업과 보안 설정이 이루어진다. 별도의 설정이나 코드 구현 없이도 기본적인 웹 보안 기능이 시스템에 연동된다. 기본적인 웹 보안 기능이란? 모든 요청에서 인증을 받아야만 Application 자원에 접근할 수 있게 된다. Form, HttpBasic 2가지 인증 방식을 제공한다. 기본 로그인 페이지를 제공한다. 기본 계정 1개를 제공한다. Username=user Pwd=Random문자열 (로그에서 확인 가능) 기본적인 웹 보안 기능으론 부족하기 때문에 다음과 같은 세부적인 추가 작업이 필요하다. 계정 추가 why? 기본 계정이 1개 밖에 없으므로 권한 추가 why..

카테고리 없음 2022. 4. 20. OAuth 2.0 개념, 동작 원리 1. OAuth 란? - oauth는 사용자, 서비스A, 서비스B 가 서로 상호작용하며 서로를 신뢰하기 위해 고안된 기술이다. 2. OAuth 가 필요한 경우 ** 상황 ** 사용자가 서비스A에 접속해서 글을 조회, 등록했을 때, 서비스A가 사용자를 대신해서 구글 캘린더의 일정을 등록해주거나, 페이스북에 글을 조회했음을 공유해주는 처리를 하고 싶으면 사용자로 부터 사용자가 사용하고 있는 서비스(구글, 페이스북)에 접근할 수 있도록 허가를 받아야 한다. ** OAuth 방식을 사용하지 않는다면? ** 가장 쉬운 방법은 사용자로부터 구글, 페이스북 아이디, 패스워드를 전달받아서 저장하여 사용하는 것이다. 하지만 사용자와 구글, 페이스북의 입장에서 신뢰성이 부족한 서비스A에게 개인 리소스를 맡기고 싶지 않을 ..

이전 1 다음

티스토리툴바