Spring/Spring Security

이전 포스팅에서 Spring Security 를 활용하지 않고 컨트롤러로 다 구현했다.이번에는 왜 Spring Security를 사용해서 OAuth를 구현해야하는지를 고려해보려고 한다.Spring Security?스프링 시큐리티는 강력하고 고도로 사용자 지정 가능한 인증 및 액세스 제어 프레임워크입니다. 스프링 기반 애플리케이션을 보호하기 위한 사실상의 표준입니다.스프링 시큐리티는 Java 애플리케이션에 인증과 권한 부여를 모두 제공하는 데 중점을 둔 프레임워크입니다. 모든 스프링 프로젝트와 마찬가지로 스프링 시큐리티의 진정한 힘은 사용자 지정 요구 사항을 충족하기 위해 얼마나 쉽게 확장할 수 있는지에 달려 있습니다 스프링을 사용할 때 보안을 적용하고 싶다? 그럼 Spring Security를 사용해라...

OAuth(Open Authorization)OAuth는 인터넷 사용자들이 비밀번호를 제공하지 않고 다른 웹 사이트 상의 자신들의 정보에 대한 웹사이트나 애플리케이션의 접근 권한을 부여할 수 있는 공통적인 수단으로서 사용되는, 접근 위임을 위한 개방형 표준다. 구글에 로그인하면 API를 통해 연동된 계정의 Google Calender 정보를 가져와 사용자에게 보여줄 수 있다.이때 사용되는 프로토콜이 OAuth다. 더 잘 이해하기 위해 인증과 인가에 대한 개념을 구분해보자Authentication(인증): 유저 본인을 확인하는 과정(로그인)Authorization(인가): 인증 후 인가를 진행, 인가에 따라 유저 정보를 선택전으로 반환한다파티에 초대된 손님을 예로 들어보면,호스트가 파티에 입장하는 사람의..

본 글은 인프런 "스프링부트 시큐리티 & JWT 강의" 최주호 강사님의 강의를 바탕으로 작성한 글입니다.스프링 시큐리티란? 공식문서에는 아래와 같이 설명되어 있다.Spring Security는 강력하고 사용자 정의가 가능한 인증 및 엑세스 제어 프레임워크입니다. 이는 Spring 기반 애플리케이션 보안을 위한 사실상의 표준입니다.Spring Security는 Java 애플리케이션에 인증과 권한 부여를 모두 제공하는 데 중점은 둔 프레임워크입니다. 따라서 java 애플리케이션으로 인증/권한 부여를 하기 위해서 Spring Security를 많이 사용한다.1. 환경설정 강의에서는 mushtache라는 템플릿 엔진을 사용했다. 의존성은 아래와 같이 추가해 주었다LombokSpring Boot DevToolsS..

이전 프로젝트에서는 AccessToken, RefreshToken을 사용해 로그인을 구현했는데그 당시 토큰에 대한 개념과 Spring Security 필터에 대한 지식이 제대로 잡힌 상태가 아니였기에 (지금은..?)졸업 프로젝트에서 구현한 AccessToken을 구현하면서 내용을 정리해 보고자 한다.settingGradle 버전: 3.x.xjava: 17 패키지 구조 노란색 하이라이트인 클래스만 사용해서 JWT필터와 AcessToken 발급 구현토큰 발급이 주인 내용이므로 memberRepository나 login controller에 대한 내용은 간단하게 설명 Spring Security란? jwt를 구현하기 위해서는 먼저 Sprint Security 필터에 대한 이해가 어느정도 필요하다.해당 내용은 ..

JWT(JSON Web Token)란? jwt는 인증에 필요한 정보들을 암호화 시킨 JSON 토큰을 의미한다.따라서 JWT를 이용한 인증은 유저를 인증하고 식별하기 위한 Token 기반 인증이다.JWT는 JSON 데이터를 Base94 URL-safe Encode를 통해 인코딩하여 직렬화한 것이고,토큰 내부에는 개인키를 통한 전자 명이 들어있다.Base64 URL-safe Encode란? 일반적인 Base64 Encode 를 URL에서 오류 없이 사용하도록 '+' 와 '/'를 각각 '-', '_'으로 표현한 것이다. 토큰 기반 인증에서 토큰은 토큰 자체에 사용자 정보들이 포함되어 있다는 점(self-contained)이 특징이다. 클라이언트의 상태를 알아야했던 stateful했던 환경에서 JWT를 사용하게..

Authentication vs Authorization Atuhentication: 인증Authorization: 권한 부여 웹 사이트에 로그인 하는 것을 Authentication이라고 한다. 한번 로그인을 한 후에는 로그인 상태가 유지되어야 한다.이 유지하는 역할을 하는 것이 Authorization이다. 권한 부여를 통해 로그인 상태의 사용자만 사용할 수 있는기능을 사용할 수 있게 한다.어떤 요청마다 로그인을 할 수 없는 노릇이니 로그인 상태를 유지시키는 기술이 필요하다-> 여기서 세션이나 JWT 활용  대표적으로 사용자의 인증/인가를 처리할 때 사용하는 방식은 다음과 같이 3가지가 있다쿠키 방식세션 방식JWT 토큰 방식쿠키 클아이언트가 인증정보 관리 (stateless)쿠키 인증 방식은 쿠키에 ..