본문 바로가기

Study/Java91

[TIL] JWT 👋🏻 JWT : JSON Web Token - 데이터를 안전하고 간결하게 전송하기 위해 고안된 인터넷 표준 인증 방식 - Json 포맷으로 사용자에 대한 속성을 저장하는 웹 토큰 - 클라이언트에서 인증 정보를 토큰으로 보관하는 방법 - 점(.)으로 나누어지는 세부문 존재 📍JWT의 구조 aaaaaaa . bbbbbb . ccccccc ------- ------- -------- Header Payload Signature (1) Header { "alg" : "HS256", "typ" : "JWT" } - 이것이 어떤 종류의 토큰인지, 어떤 알고리즘으로 sign 할지가 적혀있음 - JSON 형태로 나타남 (2) Payload { "sub" : "someInformation", "name" : "phil.. 2022. 7. 29.

[TIL] Spring Security 👍🏻 Spring Security - 자바 애플리케이션에 인증과 인가를 제공하는데 중점을 둔 프레임워크 - 기존 서블릿 필터에서 인증처리 한 것 보다 맞춤형 요구사항을 충족시키기 위해 쉽게 확장 가능 📍 Security 관련 용어 💡 필터 Filter - 체인처럼 엮어져 있어 필터 체인이라고도 불리며 모든 요청은 이 필터 체인을 반드시 거쳐야함 - Spring Security는 필터 기반으로 동작하기 때문에 Spring MVC와 분리되어 관리 및 동작 💡 접근 주체 Principal - 보호된 대상에 접근하는 유저 💡 인증 Authentication - 증명 - 유저가 누구인지 확인하는 것 - 통상 회원가입하고 로그인하는 것을 말함 💡 인가 Authorization - 허락 - 유저에 대한 권한을 확인 .. 2022. 7. 29.

[TIL] Spring Security 인가 🫰🏻 Spring Security의 인가 처리 흐름 💡 Authorization Architecture - Authorization은 특정 요청의 주체인 클라이언트의 접근 권한을 검증하는데 필요로 함 - 인가는 인증된 사용자가 특정 자원에 접근하고자 할 때 접근 할 자격이 되는지 증명하는 것 💡 FilterSecurityInterceptor - 인가 처리 담당 필터 - 마지막에 위치한 필터로써 인증된 사용자에 대해 특정 요청의 승인 및 거부를 최종적으로 결정 - 인증 객체 없이 보호 자원에 접근을 시도하면 AuthenticationException 발생 - 인증 후 자원에 접근 가능한 권한이 존재하지 않을 경우 AccessDeniedException 발생 - 권한 제어 방식 중 HTTP 자원의 보안을 .. 2022. 7. 26.

[TIL] Filter vs Interceptor 💡 필터와 인터셉터의 차이 ▪️ 필터 Filter - 디스패치 서블릿에 요청이 전달되기 전/후에 url 패턴에 맞는 모든 요청에 대해 부가 작업 처리 가능 - 디스패치 서블릿? 스프링의 가장 앞단에 존재하는 프론트 컨트롤러 - 즉, 필터는 스프링 범위 밖에서 처리 됨 ▸ 필터의 메소드 : 필터를 추가하기 위해서는 Filter 인터페이스를 구현해야하며 3가지 메소드를 가짐 public interface Filter { public void init(FilterConfig filterConfig) throws ServletException {} public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) th.. 2022. 7. 25.

[TIL] Spring Security 인증 🙌🏻 Spring Security 인증 처리 📍Authentication : 인증 - 특정 리소스에 접근하려고 하는 사용자가 누구인지를 확인할 때 사용 → 한 번 인증하면 사용자를 식별하고 권한을 부여할 수 있음 ( * 인가 : Authorization * ) - 인터페이스로 존재하며 사용자가 인증을 성공적으로 수행하게 되면 사용자 인증 정보 관련 정보를 가짐 ① principal : 사용자 식별 - 사용자의 고유 식별자와 암호로 인증이 이루어지면 일반적으로 UserDetails 인터페이스의 구현체 - 구현체로는 User클래스 or 직접 UserDetails를 상속받아 구현 가능 ② credentials : 암호 - 사용자의 인증이 이루어진 후 지워짐 ③ Authorities : 인가에 대한 정보 - A.. 2022. 7. 25.

[TIL] Spring Security 🙌🏻 Spring Security - Spring Framework 기반의 애플리케이션 인증과 인가 기능을 가진 프레임워크 - 스프링 기반의 애플리케이션에서 보안을 위한 표준 ① 모든 요청에 대해서 인증을 요구함 ② 사용자 이름 및 암호를 가진 사용자가 양식 기반으로 인증할 수 있도록 허용 ③ 사용자의 로그아웃을 허용 ④ CSRF 공격을 방지 ③ 세션 고정 공격 : Session Fixsation을 보호 - Session Fixsation? 공격자가 자신의 세션 id를 다른 사용자에게 줌으로써 공격하는 방법 ⑥ 보안 헤더 통합 - HSTS 강화 - X-Content-TypeOptions - 캐시 컨트롤러 : 정적 리소스 캐싱 - X-XSS-Protection XSS 보안 (스크랩트 공격 보안) - 클릭재.. 2022. 7. 24.

[TIL] API 문서화 🙌🏻 API Documentation 📍 API 문서 / API 스펙 / API 사양 - API 사용을 위한 어떤 정보가 담겨 있는 문서 - 클라이언트가 REST API 백엔드 애플리케이션에 요청을 전송하기 위해 알아야 되는 요청 정보를 문서로 잘 정리하는 것 → 요청정보 : 요청 URL(URI), Request Body, Query Parameter 등 - 개발자가 API 정보를 직접 수기로 작성할 수도 있고 애플리케이션 빌드를 통해 자동 생성도 가능 📍API 문서화 방식 ① Swagger - 애너테이션 기반의 API 문서화 방식 - 애플리케이션 코드 안에 기능 구현과 관련된 애너테이션 추가됨 - 가독성 및 유지 보수성이 떨어짐 - API 문서와 API 코드 간 정보 불일치 문제가 발생할 수 있음 - .. 2022. 7. 21.

[TIL] 인증/보안 🙏🏻 인증 / 보안 💡 HTTP 무상태성 - 서버는 클라이언트를 식별할 수 없음을 의미 - 즉, 매번 새로운 인증을 해야하는 번거로움 발생 * 상태를 기억하는 방법 ① 쿠키 ② 세션 ③ OAuth와 JWT 📍 HTTPS * HTTP - 인터넷에서 데이터를 주고받을 수 있는 통신 프로토콜 * HTTPS - HTTP + Secure - HTTPS : Hyper Text Transfer Protocol Secure Socket layerd의 약자 - HTTPS = HTTP over SSL(TLS) = HTTP over Secure - HTTP 요청을 SSL 혹은 TLS 알고리즘을 이용하여 HTTP 통신을 하는 과정에서 데이터를 암호화하여 전송 - HTTP 프로토콜 내용을 암호화를 통해 보안성이 추가됨 - 정확.. 2022. 7. 21.

[TIL] 슬라이스 테스트 🙏🏻 슬라이스 테스트 : Slice Test - 각 계층에 구현해 놓은 기능들이 잘 동작하는지 특정 계층만 잘라서 테스트 - 하나의 애플리케이션은 계층별로 역할이 있고 계층별로 서로 연동되기 때문에 각각의 계층별로 잘 동작하는지 테스트 진행 후 마지막으로 통합 테스트를 통해 계층 간 연동에 문제가 없는지 확인해야 테스트 작업 마무리 되는 것 📍API 계층 테스트 - API 계층의 테스트 대상은 대부분 클라이언트의 요청을 받아들이는 Controller @SpringBootTest @AutoConfigurationMockMvc public class ControllerTest { @Autowired private MockMvc mockMvc; @Test public void postMemberTest(){ .. 2022. 7. 14.

이전 1 2 3 4 5 ··· 11 다음

티스토리툴바