📕 Backend

지난 포스팅에 이어 Spring Security에 필터를 커스텀하여 Authorization Filter를 구현해봅시다. 로그인에 Jwt 방식을 적용할 때, Authentication Filter에서는 요청헤더를 인코딩하여 토큰으로 변환시키고.. authenticate()를 통해 토큰과 DB의 사용자 정보를 비교하여 검증하고.. 토큰을 만들어 응답헤더에 설정하고.. 등 꽤 복잡한 과정을 거쳐 인증이 이루어졌습니다. 하지만, Authorization의 과정은 비교적 간단합니다! 클라이언트가 서버에 제한된 리소스에 대한 요청을 보낼 때 Authentication 과정에서 발급받은 JWT를 요청헤더에 보내고, 서버에서는 이 토큰이 유효한지 검사 후 유효하면 요청에 대한 응답을 보내주면 됩니다. 이 과정에서 필..

이번 포스팅에서는 Spring Security에 Jwt 을 적용한 인증(Authentication)방식에 대해 알아보고, 다음 포스팅에서는 인증에 기반한 인가(권한검사,Authorization)방식에 대해 알아보도록 하겠습니다. 🚩Security Filter http.csrf().disable() .sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS) // 세션 사용 X, Stateless .and() .formLogin().disable() // 폼 로그인 사용 X .httpBasic().disable() // http 기반 인증방식 (ID, PW로 검증) 사용 X csrf().disable() : Cross Site Re..

JWT(JSON Web Token)은 인증에 필요한 정보들을 암호화 시킨 JSON 토큰을 의미합니다. JWT 기반 인증 방식은 JWT을 HTTP 헤더에 실어 서버가 클라이언트를 식별하는 방식입니다. ❗️JWT(Json Web Token) 클라이언트에게 전달할 JWT = Base64 Encode(Header + payload + Signature) JWT에는 각각의 구성요소가 점(.)으로 구분되어 있으며 구성요소는 3가지입니다. Header : 토큰의 타입, JWT 생성에 사용될 해쉬 알고리즘을 저장합니다. Payload : 토큰에서 사용할 정보의 조각들인 Claim 이 담겨있습니다. (실제 JWT 를 통해서 알 수 있는 데이터) 즉, 서버와 클라이언트가 주고받는 시스템에서 실제로 사용될 정보에 대한 내용..

JWT 인증 방식에 대해 알아보기에 앞서, 클라이언트 - 서버간의 통신에서 인증의 방식으로 사용되는 쿠키, 세션, 토큰 방식에 대해 간단히 알아봅시다. ❗️쿠키, 세션, 토큰은 왜 사용될까? 쿠키와 세션 그리고 토큰은 어디에, 왜 사용될까요? 이를 이해하기 위해선 보통 웹 환경에서 사용하는 HTTP 프로토콜의 특징을 아는 것이 중요합니다. HTTP 프로토콜의 특징 1. 비연결성(Connectionless) : 클라이언트-서버간 TCP 연결을 맺은 이후 서버는 클라이언트의 요청에 대한 응답을 보내고 난 후, 그 즉시 연결이 끊어집니다. 2. 무결성(Stateless) : 비연결성에 의해 연결이 끊어지는 순간 모든 상태정보가 사라지게 됩니다. 비연결성과 무결성의 특성으로 인해 서버는 클라이언트가 첫 번째 통..

이번 포스팅에서는 지난 포스팅에 이어 OAuth2.0을 이용해 네이버와 카카오 로그인 기능을 추가해봅시다. Spring Security에서는 Google, Twitter, Facebook과 같은 글로벌하게 사용되는 플랫폼에 한해서는 Provider를 지원하지만 네이버와 카카오와 같이 특정 나라에 한해서는 Provider를 별도로 지원하지 않습니다. 따라서 네이버, 카카오 소셜 로그인 기능을 추가하기 위해서는 애플리케이션 부가정보에 provider를 별도로 추가해 주어야 합니다. Naver 로그인 API 발급 및 설정 Naver는 아래 네이버 개발자 사이트에서 API를 발급받고, Authorization URI 와 Token 발급 URI를 확인할 수 있습니다. 사전 준비 사항 - Open API 가이드 사..