📕 Backend/Spring Security

이번 포스팅에서는 Spring Security에 Jwt 을 적용한 인증(Authentication)방식에 대해 알아보고, 다음 포스팅에서는 인증에 기반한 인가(권한검사,Authorization)방식에 대해 알아보도록 하겠습니다. 🚩Security Filter http.csrf().disable() .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS) // 세션 사용 X, Stateless .and() .formLogin().disable() // 폼 로그인 사용 X .httpBasic().disable() // http 기반 인증방식 (ID, PW로 검증) 사용 X csrf().disable() : Cross Site Re..

JWT(JSON Web Token)은 인증에 필요한 정보들을 암호화 시킨 JSON 토큰을 의미합니다. JWT 기반 인증 방식은 JWT을 HTTP 헤더에 실어 서버가 클라이언트를 식별하는 방식입니다. ❗️JWT(Json Web Token) 클라이언트에게 전달할 JWT = Base64 Encode(Header + payload + Signature) JWT에는 각각의 구성요소가 점(.)으로 구분되어 있으며 구성요소는 3가지입니다. Header : 토큰의 타입, JWT 생성에 사용될 해쉬 알고리즘을 저장합니다. Payload : 토큰에서 사용할 정보의 조각들인 Claim 이 담겨있습니다. (실제 JWT 를 통해서 알 수 있는 데이터) 즉, 서버와 클라이언트가 주고받는 시스템에서 실제로 사용될 정보에 대한 내용..

JWT 인증 방식에 대해 알아보기에 앞서, 클라이언트 - 서버간의 통신에서 인증의 방식으로 사용되는 쿠키, 세션, 토큰 방식에 대해 간단히 알아봅시다. ❗️쿠키, 세션, 토큰은 왜 사용될까? 쿠키와 세션 그리고 토큰은 어디에, 왜 사용될까요? 이를 이해하기 위해선 보통 웹 환경에서 사용하는 HTTP 프로토콜의 특징을 아는 것이 중요합니다. HTTP 프로토콜의 특징 1. 비연결성(Connectionless) : 클라이언트-서버간 TCP 연결을 맺은 이후 서버는 클라이언트의 요청에 대한 응답을 보내고 난 후, 그 즉시 연결이 끊어집니다. 2. 무결성(Stateless) : 비연결성에 의해 연결이 끊어지는 순간 모든 상태정보가 사라지게 됩니다. 비연결성과 무결성의 특성으로 인해 서버는 클라이언트가 첫 번째 통..

이번 포스팅에서는 지난 포스팅에 이어 OAuth2.0을 이용해 네이버와 카카오 로그인 기능을 추가해봅시다. Spring Security에서는 Google, Twitter, Facebook과 같은 글로벌하게 사용되는 플랫폼에 한해서는 Provider를 지원하지만 네이버와 카카오와 같이 특정 나라에 한해서는 Provider를 별도로 지원하지 않습니다. 따라서 네이버, 카카오 소셜 로그인 기능을 추가하기 위해서는 애플리케이션 부가정보에 provider를 별도로 추가해 주어야 합니다. Naver 로그인 API 발급 및 설정 Naver는 아래 네이버 개발자 사이트에서 API를 발급받고, Authorization URI 와 Token 발급 URI를 확인할 수 있습니다. 사전 준비 사항 - Open API 가이드 사..

이 전 포스팅에서 OAuth2.0을 통한 구글 소셜 로그인을 적용해보았습니다. 하지만 단순히 로그인만 성공 했을 뿐 아직 남은 문제들이 있습니다. 1. 아직 소셜 로그인으로 로그인한 사용자에 대한 정보가 데이터베이스에 없습니다. ▶︎ 데이터베이스에 소셜 로그인한 사용자의 정보를 커스텀해서 저장 필요 2. 소셜 로그인한 사용자에 대한 접근 권한이 주어지지 않았습니다. ▶︎ 소셜 로그인 사용자에 대해 접근 권한 설정 (이 또한 데이터베이스에 저장 시 Role 설정으로써 해결) 이번 포스팅에서는 주어진 위의 문제들을 Spring Security 내부에서 처리해보도록 합시다! 일반 로그인 로직을 다시 한 번 정리. 1. Request ➡️ AuthenticationFilter : 클라이언트가 Authentica..