Security

OAuth란? OAuth 공식문서에 따르면 > The OAuth 2.0 authorization framework enables a third-party application to obtain limited access to an HTTP service, eit

인증 된 사용자가 특정 자원에 접근하고자 할 때 접근 할 자격이 되는지 증명하는 것을 인가(Authorization)이라 한다.Authority는 권한을 의미하며 Authentication 객체에서 부여된 권한을 나타내기 위해 사용된다. 💡Authentication

💡 인가 처리는 인증 처리 이후 사용자 권한에 따른 사이트 접근에 관해 일어나는 과정입니다.사용자가 HTTP 요청을 합니다.FilterSecurityInterceptor는 SecurityContextHolder로부터 Authentication을 얻습니다.FilterS

인증된 사용자의 Authentication객체가 저장되는 보관소로 필요시 언제든 Authentication객체를 꺼내어 쓸 수 있도록 제공되는 클래스ThreadLocal에 저장되어 있어 아무 곳에서나 참고가 가능하도록 설계되어 있다.ThreadLocal : Thread

Spring Security 에서 일반적인 Authentication(인증) 처리는 다음과 같습니다.사용자가 http Request로 Username과 password를 가진 상태로 접근한다. Request는 각각 관련된 SecurityFilterChain을 통과한다.

필터는 클라이언트의 request, response를 가로채는 데 사용되는 객체이다. 필터는 두가지의 작업을 수행 할 수 있다. client의 요청을 가로채어 작업을 수행 response가 되기 전 가로채어 작업을수행Spring Security는 주요 보안처리

CSRF란 인터넷 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위를 특정 웹사이트에 요청하게 만드는 공격이다.CSRF는 해커가 사용자의 컴퓨터나 서버를 해킹하여 이루어 지는 공격은 아니다. CSRF는 다음과 같은 조건에서 발생한다.사용자가 보안이 취약한 서버로부

💡SQL Injection은 데이터베이스에 임의의 SQL문을 실행 할 수 있도록 명령어를 삽입하는 공격 유형이다. 응용프로그램의 보안상의 허점을 이용해 데이터베이스를 비정상적으로 조작하며, 이로 인해 기록이 삭제되거나 데이터가 유출될 수 있다.만약 로그인 시스템이 있

세션 : 반영구적이고 상호작용적인 정보 교환을 전제하는 둘 이상의 통신 장치나 컴퓨터와 사용자 간의 대화, 송수신 연결상태를 의미하는 보안적인 다이얼로그 및 시간대를 의미한다. (위키피디아 일부 발췌)HTTP는 무상태성(stateless)이라는 특성을 가지고 있다.

httpSecurity : SecurityFilterChain 구성에 쓰인다. 보안 처리시 사용된다.종종 우리가 하나의 SecurityFilterChain 말고 여러 SecurityFilterChain에 조건을 걸고 싶다면 WebSecurity를 사용한다고 한다. 보안