들어가며Spring Security를 사용하면 API에 사용되는 인증, 인가에 JWT를 사용할 수 있다.JWT 라이브러리는 API 엔드포인트에 JWT 필터를 추가하고, 필터는 헤더에 들어있는 JWT 토큰을 검증하여 유효하면 Security Context에 등록한다.JWT란 무엇인가JWT(JSON Web Token)란 인터넷 표준(RFC 7519)으로, 데이터의 안전한 전송방법에 대한 정의이다.토큰의 claim을 JSON 객체로 암호화하고 비공개 암호 또는 공개, 비공개 키 쌍을 통해 디지털 서명하여 발급할 수 있다.JWT는 인증 정보 교환 뿐 아니라 세션 관리나 In-Memory 정보 관리에도 활용될 수 있으므로, OAuth2와 같은 제3자 서버와의 인증에도 사용될 수 있다.JWT의 구성요소JWT는 [H..

들어가며Spring Security의 OAuth2 라이브러리는 웹 어플리케이션을 위한 authorization code 방식의 인증과 SPA(Single Page Application)를 위한 implicit 방식의 인증을 지원한다.또한 Spring Security를 사용하여 서비스할 웹 어플리케이션을 OAuth2 리소스 서버로서 동작하게 할 수 있다.OAuth2 인증 과정을 복잡하고 일반 로그인에 비해 자원도 많이 소모되지만, Spring Security OAuth2 라이브러리로 설정을 비교적 편하게 진행할 수 있다.OAuth2란 무엇인가OAuth 2.0은 IETF(Internet Engineering Task Force. 국제 인터넷 표준화 기구)에서 2012년 8월에 발표한 프로토콜이다.이 프로토콜..

들어가며 Spring Security는 ID/Password, OAuth2 등 다양한 인증 체계를 지원한다. 유저가 인증되고 나면, Spring Security는 유저가 특정 리소스나 기능에 접근할 수 있는지를 확인한다. 계속 ‘인증’과 ‘인가’라는 단어를 사용하게 되는데, 좋은 포스팅을 만나 정리해보려 한다. Spring Security Spring으로 개발하다 보면 Auth를 추가하기 위해 Spring Security를 의존성에 추가하게 된다. 그리고 여러 문제점을 마주한다. 로그인 페이지가 자동으로 생성되어 있다. POST Request가 전송되지 않는다. 어플리케이션 전체가 username, password를 요구하기 시작한다. 이런 여러 문제를 해결하기 위해서는 Spring Security가 무..

들어가며 Spring Security는 Java 기반 어플리케이션에 보안을 제공하는 프레임워크이다. 그 중 가장 핵심 기능은 ‘접근하려는 유저가 누구인지 확인’하는 Authentication(인증)이다. Spring Security는 전통적 방식의 ID/Password 인증부터 OAuth, JSON Web Token(JWT)까지 다양한 인증 방식을 지원한다. Basic 인증 사용해보기 SecurityConfig httpBasic 요소를 default로 추가하였다. “/” 엔드포인트만 모두 허용하고 나머지 엔드포인트 요청은 전부 인증을 필요로 한다. @Configuration @EnableWebSecurity public class DefaultSecurityConfig { @Autowired public..

들어가며 Spring Security는 Java 기반 어플리케이션의 보안을 위한 Spring 하위 프레임워크이다. Spring Security는 웹 어플리케이션이나 RESTful 서비스에 대한 광범위하고 커스텀 가능한 인증 체계를 제공한다. Spring Security Spring Security는 servlet 필터를 사용하여 어플리케이션에 인증(Authentication)과 인가(Auhorization)를 제공한다. 웹 어플리케이션은 인터넷을 통해 누구나 접근할 수 있기 때문에 보안상 취약점과 공격을 받을 위협이 존재한다. Spring Security는 노출되어 있는 REST 엔드포인트에 보안 설정을 제공한다. Concepts Spring Security를 이해하기 위해서는 몇 가지 개념에 대한 이해..