이 장에서 다룰 내용:CSRF 공격 이해하기사이트 간 요청 위조 보호 구현하기CSRF 보호 커스터마이징Spring Security 아키텍처에서 필터 체인과 그 목적에 대해 배웠습니다. 5장에서 여러 예제를 통해 필터 체인을 커스터마이징하는 방법을 작업했습니다. 하지만 Spring Security는 필터 체인에 자체 필터도 추가합니다. 이 장에서는 CSRF(사이트 간 요청 위조) 보호를 구성하는 필터에 대해 논의할 것입니다. 이러한 필터를 커스텀마이징하여 시나리오에 완벽하게 맞추는 방법을 배울 것입니다. 지금까지의 대부분의 예제에서 HTTP GET만 구현했고, HTTP POST를 구성해야 할 때는 CSRF 보호를 비활성화하는 추가 지시사항을 추가해야 했음을 아마도 관찰했을 것입니다. HTTP POST 엔드..

이 장에서 다루는 내용:matcher 메소드를 사용하여 제한을 적용할 request 선택각 matcher 메소드에 대한 최적의 시나리오 학습7장에서는 권한과 Role을 기반으로 접근을 구성하는 방법을 배웠습니다. 하지만 모든 엔드포인트에 대한 구성만 적용했습니다. 이 장에서는 특정 그룹의 요청에 대한 권한 부여[인가] 제약 조건을 적용하는 방법을 배울 것입니다. 프로덕션 애플리케이션에서는 모든 요청에 동일한 규칙을 적용할 가능성은 낮습니다. 일부 특정 사용자만 호출할 수 있는 엔드포인트가 있는 반면, 다른 엔드포인트는 모든 사람이 접근할 수 있습니다. 각 애플리케이션은 비즈니스 요구 사항에 따라 자체적인 커스텀 인증 구성을 가지고 있습니다. 액세스 구성을 작성할 때 다양한 요청을 참조하는 옵션에 대해 논..

이 장에서는 다음을 다룹니다.권한과 Role 정의하기엔드포인트에 권한 규칙 적용하기몇 년 전, 저는 아름다운 카르파티아 산맥에서 스키를 타던 중 이 재미있는 장면을 목격했습니다. 대략 열 명, 아니면 열다섯 명의 사람들이 스키 슬로프 꼭대기로 가기 위한 케빈에 탑승하기 위해 줄을 서 있었습니다. 한 유명한 팝 아티스트가 두 명의 보디가드와 함께 나타났습니다. 그는 유명인사라는 이유로 줄을 뛰어넘을 수 있을 것으로 자신하며 당당하게 앞으로 걸어갔습니다. 줄의 맨 앞에 도달했을 때, 그는 놀라움을 받았습니다. "티켓 주세요!"라고 탑승을 관리하는 사람이 말했고, 그 다음에는 "먼저 티켓이 필요하고, 둘째로, 이 탑승에는 우선 순위 줄이 없어요, 죄송합니다. 줄은 저기 끝에 있습니다."라고 설명해야 했습니다...

이 장에서는 다음을 다룹니다:사용자 정의 AuthenticationProvider를 사용하여 인증 로직 구현HTTP Basic 및 form 기반 로그인 인증 방법 사용SecurityContext 구성 요소의 이해 및 관리 3장과 4장에서는 인증 흐름에서 작동하는 몇 가지 구성 요소를 다뤘습니다. 우리는 UserDetails를 설명하는 프로토타입을 정의하는 방법과 Spring Security에서 사용자를 설명하는 방법을 논의했습니다. 그런 다음, UserDetails를 사용하여 UserDetailsService 및 UserDetailsManager 계약이 작동하는 방법과 이를 구현하는 방법을 배웠습니다. 우리는 또한 이러한 인터페이스의 주요 구현을 논의하고 예제에서 사용했습니다. 마지막으로, Passwor..

이번 장에서는 다음을 다룹니다Working with the filter chainDefining custom filtersUsing Spring Security classes that implement the Filter interface스프링 시큐리티에서 HTTP 필터는 HTTP 요청에 적용되어야 하는 다양한 책임을 처리하는 중요한 역할을 합니다. 이러한 필터들은 각각 특정한 보안 관련 작업을 담당하며, 요청이 서버로 들어오면 이 필터들을 통과하게 됩니다. 이 과정에서 각 필터는 자신이 담당하는 특정 작업을 수행합니다. 예를 들어, 인증, 권한 부여, CSRF 보호 등이 이에 해당할 수 있습니다. 필터들은 필터 체인(filter chain)을 형성하여 순차적으로 작동합니다. 이 체인 구조는 요청이 들어..

이 장에서는 다음 내용을 다룹니다.PasswordEncoder 구현 및 작업 Spring Security Crypto 모듈이 제공하는 도구 사용3장에서는 Spring Security로 구현된 애플리케이션에서 사용자 관리를 논의했습니다. 그렇다면 비밀번호는 어떨까요? 인증 흐름에서 중요한 부분임이 분명합니다. 이 장에서는 Spring Security로 구현된 애플리케이션에서 비밀번호와 secret을 관리하는 방법을 배울 것입니다. PasswordEncoder 계약과 비밀번호 관리를 위해 Spring Security Crypto 모듈(SSCM)이 제공하는 도구에 대해 논의할 것입니다.위 설명에서 secret은 애플리케이션에서 사용자의 인증과 데이터 보안을 위해 관리해야 하는 중요한 정보나 키를 뜻합니다. 이..