본문 바로가기

코딩하는 백구

Contact

bjy1530@naver.com

Recent Posts

Popular Posts

Recent Comments

Link

Calendar

Tags

더보기

Archives

Visits

Today

Yesterday

스프링 시큐리티 인프런

카테고리 없음 2022. 12. 30. [스프링 시큐리티] 기본 API & Filter 이해(8) 세션 고정 보호 1) 세션 고정 공격 공격자가 서버에 접속한다. 서버는 공격자에게 jsessionid 를 발급한다. 공격자는 이 jsessionid 쿠키를 사용자에게 심어 놓는다. 사용자는 이 쿠키로 로그인을 시도하고 로그인을 성공한다. (서버에 세션 생성됨) 서버는 사용자, 공격자 둘 다 동일한 계정으로 판단한다. 즉, 공격자 쿠키 값으로 인증되어 있기 때문에 공격자는 동일한 쿠키를 통해 서버에 접근하여 사용자 정보를 공유 받는다. 스프링 시큐리티는 이 공격을 보호하기 위해서 세션 고정 보호 기능을 제공한다. 사용자가 공격자의 쿠키를 사용하여 인증을 받더라도 인증 마다 새로운 세션이 생성되고 새로운 쿠키도 생성된다. 따라서 공격자가 서버에 접근하더라도 세션 아이디가 틀리기 때문에 사용자 정보를 알 수 없다. prote..

카테고리 없음 2022. 12. 30. [스프링 시큐리티] 기본 API & Filter 이해(6) 익명 사용자 인증 필터 익명사용자 인증 처리 필터이다. 익명 사용자와 인증 사용자를 구분해서 처리하기 위한 용도로 사용한다. 화면에서 인증 여부를 구현할 때 isAnonymous() 와 isAuthenticated() 로 구분해서 사용한다. 인증 객체를 세션에 저장하지 않는다. 존재 하는 이유는? 사용자가 인증을 받게 되면 세션에 유저 객체를 저장한다. 인증을 받지 못하면 null 로 처리한다. 이 사용자가 어떤 자원에 접근하려고 하면, 이 유저인증 객체가 존재하는 지 확인한다. 익명 사용자 인증 필터에서는 인증을 못 받아도 null 로 처리하지 않고 별도의 익명 사용자 객체를 만들어 처리한다. 사용자가 요청을 보낸다. anaoymousAuthenticationFilter 가 요청을 받는다. 이 사용자가 인증객체를 가지고 있는..

이전 1 다음

티스토리툴바