![]()
A Review of Filters Spring security support는 Servlet Filter 기반이기 때문에 일반적으로 처음에 Filter의 역할을 찾아보는 것이 유용하다. 아래는 하나의 HTTP 요청을 위한 handler의 전형적인 계층을 보여준다. 클라이언트가 애플리케이션에 요청을 보내면, 컨테이너는 요청 URI를 기반으로 한 HttpServletRequest를 처리해야 하는 Filter instance와 Servlet을 포함한 FilterChain을 생성한다. Spring MVC application에서의 Servlet은 DispatcherServlet이다. 많아 봐야 하나의 Servlet은 하나의 HttpServletRequest와 HttpServletResponse를 다룰 수 있다..
[개요] 서비스에는 인증 되지 않은 모든 유저가 접근할 수 있는 리소스가 있다. 하지만 특정 리소스는 로그인 인증이 되어야만, 인증이 되어도 특정 권한이 있어야만 접근할 수 있는 것이 필요할 수도 있다. 이를 Spring security로 쉽게 설정할 수 있다. 이 방법을 정리해보려 한다. [본문] package com.example.testsecurity.config; import lombok.Getter; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation...
[개요] 서비스 개발을 하면서 필수적으로 보안적인 부분을 생각할 수 밖에 없다. 이때 서비스에서 보안 중 가장 가깝게 생각해볼 수 있는 것이 인증과 인가이다. 여기에선 인증과 인과에 대해 알아보고, 변화과정과 장단점을 알아보려 한다. [개념] 나는 A이다. 서비스에서 B라는 자원을 조회할 것이다. 근데 서비스의 B라는 자원을 불러오기 위해선 해당 서비스의 유저여야하고, admin이라는 권한을 가지고 있어야 한다. B 자원을 조회한 뒤, A는 admin 권한이 필요한 C 자원도 조회할 것이다. 서비스는 유저가 B와 C라는 자원을 접근할 때 무엇인가 확인을 해야 할 것이다. 1. 인증 인증이란 식별 가능한 데이터로 서버에 등록된 유저의 신원을 입증하는 과정이다. 서비스의 B 리소스를 불러오기 위해선 A는 a..
