Practical Accumulation

1. 스프링 Security는 기본적으로 CSRF 공격을 방지하는 기능을 지원하고 있다. 1-1 CSRF (Cross-site Request Forgery)는 1-1-1 사이트에 로그인한 유저처럼 행세하여 데이터나 금전적인 이득을 얻는 사이버 공격이다. 1-1-2 예를 들면 은행사이트에 로그인한 유저의 session으로 엉뚱한 사람에게 송금을 하거나 1-1-3 쇼핑사이트에서 사용자가 구매한 것처럼 물건을 구매해 엉뚱한 곳으로 보내는 식이다. 1-2 따라서 웹사이트는 유저와 통신할 때 페이지에 확인용으로 token정보를 주고 받아 진짜 유저인지 확인한다. 1-2-1 즉 모든 웹페이지에 추가적인 인증 정보나 토큰을 붙인다. 1-2-2 추가적인 요청이 들어온 경우 요청에서 token을 검증하여 실제 유저인지를..

1. 이 포스트는 Spring : Web MVC + Security 시리즈의 연속이다. 2. 이 포스트에서는 아래 빨간 박스에 있는 로그인 화면에 대한 UI를 사용자가 작성하도록 하는 것이다. 3. 작업을 나열하면 3-1 Security 설정에서 사용자 로그인를 참조하도록 설정하고 3-1-1 configure(AuthenticationManagerBuilder)는 지난 포스트에서 사용자 로그인 방식을 설정하는데 사용했다. 3-1-1-1 즉, in Memory, Database, LDAP 같은 기술로 부터 로그인을 사용하도록 지정할 수 있다. 3-1-2 configure(HttpSecurity)는 프로그램 웹경로와 로그인, 로그아웃에 대한 보안을 설정하는데 사용된다. 3-1-2-1 따라서 사용자 로그인 화..