짱구의 개발공부 ✨

앞선 글에서 Spring Boot가 어떻게 DelegatingFilterProxy 를 실행하는지 설명하였습니다. 이제 예시를 들어 실제로 FilterChainProxy의 코드가 동작하는지 살펴보겠습니다. SecurityConfig 라는 클래스를 만들어 Spring Security 가 동작하도록 간단하게 설정을 해주었습니다. 필터가 동작하는 경로로 "/foo/**" 를 등록해주었습니다 Controller 도 간단하게만 구성하였습니다. Security에 등록된 경로를 매핑하는 컨트롤러를 하나 만들어주었습니다. 이제 테스트를 돌려 작성한데로 Controller 를 호출하는지와, 동시에 FIlterChainProxy 를 타는지 디버깅으로 실행해보겠습니다. 디버깅을 FilterChainProxy 의 doFilte..

저번에 Spring Security에서 DelegatingFilterProxy 가 스프링 시큐리티가 생성하는 FilterChainProxy에 필터처리를 위임하고, 이 FilterChainProxy 는 다시 여러필터를 체인 형식으로 갖고 있는 SecurityFilterChain 에 처리를 위임하는 내용을 봤습니다. 그런데, Spring Boot 를 사용하다 보면 이런 설정들을 해준 기억이 없죠. Spring Boot 는 강력한 보일러 플레이트의 기능을 하기 때문에, 이러한 설정들이 사용자에게 보이지 않고 해주는 경우가 많습니다. 그래서 어떤 기능을 제공받고 있는지, 어떤 개념을 이해하고 써야되는지 놓치기 쉽죠. Spring Boot 에서 우리가 Spring Security 를 사용했음에도 Delegatin..

스프링 시큐리티의 필터 체이닝에 대한 학습. 1. Spring Security Filter Chain 스프링 시큐리티는 서블릿 필터를 기반으로 동작합니다. 스프링 시큐리니는 내부적으로 각 필터가 책임을 갖게 하고, 서비스에 따라 추가/제거 되는 필터 체인을 가지고 있습니다. 네임스페이스 구성을 사용한다면, 내부적으로 FilterChainProxy 객체를 스프링 빈으로 등록하는데, FilterChainProxy는 접근제어, 로그인/로그아웃 등의 보안 관련 서블릿 필터들을 묶어서 실행해주는 기능을 제공합니다. 2. DelegatingFilterProxy 스프링 책을 보다보면 '스프링 시큐리티를 위한 web.xml 설정'이라는 부분에서 DelegatingFilterProxy 라는 부분이 나오는데, 대부분이 넘..

스프링 시큐리티에 대한 기본 개념 학습 1. Spring Security 란 ? 어플리케이션에 인증과 권한 부여를 제공하는데 중점을 둔 스프링 하위의 프레임워크. 여기서 인증(Authenticate) 와 인가(Authorize) 에 대한 이해가 먼저 필요합니다. 인증(Authenticate)은 간단히 말해서 누구인지 확인하는 것입니다. 어떤 보호된 리소스에 접근할 때 접근하는 대상이 누구인지 확인하는 과정입니다. 인가(Authorize)는 리소스에 대한 접근 권한이 있는지 확인하는 것입니다. 어떤 대상을 인증했을때, 그럼 그 대상은 이 리소스에 접근이 가능한지 확인합니다. 스프링 시큐리티는 인증, 인가의 과정을 Filter 를 통해서 제어를 합니다. Filter 의 위치를 대략적으로 그려보면 위와 같습니..

JWT 를 사용하며 2 Factor (sms 인증) 을 하는 방법에 대해서 생각하며 프로젝트를 간단히 만들었습니다. 업무 중, 보안ㅇ 관련하여 2 Factor 인증과 동시접속을 제한해달라는 지시를 받았는데, 이 두 문제를 같이 고려하였습니다. ( 전체 소스 : https://github.com/KyungSik9870/JwtAuthentication ) ✹ JWT (Json Web Token) 사용 JWT 란? JSON 객체를 사용해서 토큰에 정보를 저장하는 Web Token. Header, Payload, Signature 로 이루어져 있습니다. 헤더에 담겨질때, Authorization : 의 형태를 띄고 type 에 대해서는 JWT 에 특정되는 표준은 없고, OAuth2 에 사용되는 Bearer 를 ..