마르코의 개발 일기

가장 흔하게 쓰이는 SpringSecurity 기능 중 하나인 비밀번호 숨기기다. 기본적으로 PasswordEncoder를 사용하려면 @Bean 등록을 하고 사용을 하게 되는데 정말 간단하게 @Bean 등록이 가능하다. 이후 필요한 클래스에서 @Autowired PasswordEncoder passwordEncoder 또는 @RequiredArgsConstructor public class 클래스명 { private final PasswordEncoder passwordEncoder; } 알아서 편한대로 가져다 사용하면 된다. PasswordEncoder의 내부이다 대충 설명을 하자면 String encode(CharSequence rawPassword); raw한 암호를 인코딩합니다. 8바이트 이상의 ..

SpringSecurity 2022. 6. 23. 01:31

아니 왜 deprecated하면서 우리를 괴롭혀.. 1. 원인 1. Spring Security 5.6.5 이상 또는 Spring Boot 2.6.8 이상일 경우 사용가능. (경고가 안뜸) 2. Spring Security 5.7.1 이상 또는 Spring Boot 2.7.0 이상을 사용하는 경우 IDE에 경고가 표시 2. 해결 방법 우선 굳이 WebSecurityConfigurerAdapter 을 extends 받을 필요가 없는것 같다. 1. HttpSecurity http 오버라이드 대신 빈을 생성해줄 것인데. 위 사진은 WebSecurityConfigurerAdapter 를 상속받을 경우 오버라이드 할 수 있는 configure이다 . 세큐리티에 적용 되는 부분들을 커스터 마이징 하는것인데 . 위 ..

SpringSecurity 2022. 6. 21. 23:03

Security 에는 필터 체인이라는 것이 존재한다. 사진과 같이 필터 체인에는 서블릿 필터가 존재하며 기본적으로 수많은 기능들을 사용하게된다. 우리가 필요한 필터들은 커스터마이징하여 사용할 수 있다. 1. 로그인 핵심은 요청을 처리함에 있다. 예를 들어 로그인을 생각해보자 1. Authentication Filter Http Req요청이 들어왔다. Authentication Filter는 이 과정에서 사용자가 보낸 (정보)요청을 가장 먼저 가로챈다(인터셉트). 2. UsernamePasswordAuthentication Token [ 유저네임(아이디) + 비밀번호 ] 토큰(인증용 객체)을 발급한다고 생각하면 된다. 해당 토큰을 AuthenticationManager에 보내줄 예정이다. 3. Authen..

SpringSecurity 2022. 6. 21. 22:36

끝없이 우리를 괴롭히는 스프링 세큐리티. 우선 기본적인 개념부터 뜯어보려 한다. 1. 인증과 인가 인증 : 식별 가능한 정보로 서비스에 등록된 유저의 신원을 입증하는 과정 인가 : 권한에 대한 허가 . 인증된 사용자에 대한 자원 접근 권한 확인 인증을 통해 인가에 대한 범위를 확인 할 수 있다. EX)) 회원가입 -> 인증 글을 쓰는 권한, 보는 권한 -> 인가 -> 하지만 우리는 타인의 글을 수정할 수 없다. 가장 기본이 되는 개념이다. 우리는 권한을 얻어야 하며 이 권한의 범위를 알아야한다. 효율적(Token)이고 안전(Server)하게 인증(Request Header)을 하고. 이 인증을 유지(Browser)해야하며 믿을 수 있는 제 3자에게 인증(OAuth)에 대해 맡길 수 있다. 우리는 인증을 ..

SpringSecurity 2022. 6. 20. 21:49