[Hyeonu] Week9 미션 #99
There are no files selected for viewing
This file contains hidden or bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
This file contains hidden or bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| Original file line number | Diff line number | Diff line change |
|---|---|---|
| @@ -0,0 +1,115 @@ | ||
| - Spring Security가 무엇인가? | ||
|
|
||
| 자바 기반 웹 애플리케이션의 보안을 담당하는 프레임워크이다. | ||
|
|
||
| 개발자가 보안 로직을 직접 구현하지않고 몇가지 설정만으로 아래 3가지를 처리할 수 있음 | ||
|
|
||
| - 인증(Authentication)- 이 사용자가 누구인지 식별(로그인) | ||
| - 인가(Authorization)- 이 사용자가 해당 리소스에 접근할 권한이 있는지 식별(권한 확인) | ||
| - 보안 위협 방어- CSRF, XSS 등 각종 공격으로부터 보호 | ||
|
|
||
| Filter Chain을 통해 HTTP요청을 순차적으로 필터링하며, SecurityConfig를 통해 커스텀 보안 설정을 적용할 수 있다. | ||
|
|
||
|
|
||
|
|
||
| - 인증(Authentication)vs 인가(Authorization) | ||
|
|
||
|
|
||
|
|
||
| **인증(Authentication)** | ||
|
|
||
| 목적 | ||
|
|
||
| 사용자 신원 확인 | ||
|
|
||
| 실패 시 | ||
|
|
||
| 401 Unauthorized | ||
|
|
||
| 예시 | ||
|
|
||
| 로그인, 회원가입 | ||
|
|
||
| Spring Security | ||
|
|
||
| `AuthenticationEntryPoint` | ||
|
|
||
|
|
||
|
|
||
| **인가(Authorization)** | ||
|
|
||
| 목적 | ||
|
|
||
| 리소스 접근 권한 확인 | ||
|
|
||
| 실패 시 | ||
|
|
||
| 403 Forbidden | ||
|
|
||
| 예시 | ||
|
|
||
| 관리자 페이지 접근 | ||
|
|
||
| Spring Security | ||
|
|
||
| `AccessDeniedHandler` | ||
|
|
||
| 인증 먼저 그 다음 인가 | ||
|
|
||
| - Stateful vs Stateless | ||
|
|
||
|
|
||
|
|
||
| **Stateful** | ||
|
|
||
| 상태 저장 | ||
|
|
||
| 서버가 저장 | ||
|
|
||
| 방식 | ||
|
|
||
| 세션 | ||
|
|
||
| 동작 | ||
|
|
||
| 로그인 시 서버에 세션 저장 → 요청마다 세션 확인 | ||
|
|
||
| 장점 | ||
|
|
||
| 구현 간단 | ||
| 즉시 로그아웃 가능 | ||
|
|
||
| 단점 | ||
|
|
||
| 서버 부하 | ||
| 확장성 낮음 | ||
|
|
||
| 예시 | ||
|
|
||
| 폼 로그인 | ||
|
|
||
|
|
||
|
|
||
| **Stateless** | ||
|
|
||
| 상태 저장 | ||
|
|
||
| 서버가 저장 안함 | ||
|
|
||
| 방식 | ||
|
|
||
| JWT 토큰 | ||
|
|
||
| 동작 | ||
|
|
||
| 토큰에 사용자 정보 담아서 → 요청마다 토큰 검증 | ||
|
|
||
| 장점 | ||
|
|
||
| 토큰 탈취 시 만료 전까지 막기 어려움 | ||
|
|
||
| 예시 | ||
|
|
||
| JWT | ||
|
|
||
| 이번 주차는 Stateful 방식 |
This file contains hidden or bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| Original file line number | Diff line number | Diff line change |
|---|---|---|
| @@ -0,0 +1,58 @@ | ||
| - 세션과 토큰의 차이는? | ||
|
|
||
| | 구분 | 세션 기반 인증 | 토큰 기반 인증 | | ||
| | --- | --- | --- | | ||
| | 인증 정보 저장 위치 | 서버 |클라이언트(브라우저/앱) | | ||
| | 상태 유지 | Stateful(상태 유지) | Stateless(상태 없음) | | ||
| | 인증 방식 | 서버가 세션 ID 기억 | 토큰 자체로 사용자 인증 | | ||
| | 저장 형태 | 쿠키(JSESSIONID) | JWT 등 토큰 | | ||
| | 확장성 | 서버 늘어나면 관리 복잡 | 서버 확장 쉬움 | | ||
| | 보안 | 상대적으로 안전 | 토큰 탈취 시 위험 | | ||
|
|
||
| **세션은 서버가 로그인 상태를 기억하고, 토큰은 토큰 자체가 인증 정보를 가진다.** | ||
|
|
||
|
|
||
| - 엑세스 토큰과 리프레시 토큰이란? | ||
|
|
||
| **Access Token** | ||
|
|
||
| 실제 인증에 사용하는 메인 토큰 | ||
|
|
||
| - API 요청 시 사용 | ||
| - Authorization 헤더에 담아 전송 | ||
| - 유효기간이 짧음 | ||
|
|
||
| **Refresh Token** | ||
|
|
||
| - 로그인 유지 목적 | ||
| - Access Token 만료 시 새 토큰 발급 | ||
| - 유효기간이 김 (2주~ 1개월) | ||
|
|
||
| 흐름 | ||
|
|
||
| - 로그인 성공 | ||
| - Access + Refresh Token 발급 | ||
| - Access Token 만료 | ||
| - Refresh Token으로 재발급 | ||
| - 재로그인 없이 계속 사용 | ||
|
|
||
|
|
||
| - OAuth 1.0과 OAuth 2.0의 차이는? | ||
|
|
||
| **OAuth** | ||
|
|
||
| 비밀번호를 직접 공유하지 않고 제 3자 서비스가 권한을 위임받는 인증 방식 | ||
|
|
||
| 예) 카카오, 구글, 네이버 로그인 | ||
|
|
||
| | 구분 | OAuth 1.0 | OAuth 2.0 | | ||
| | --- | --- | --- | | ||
| | 보안 방식 | 복잡한 서명(Signature) | HTTPS 기반 | | ||
| | 구현 난이도 | 어려움 | 쉬움 | | ||
| | 성능 | 느림 | 빠름 | | ||
| | 사용성 | 낮음 | 높음 | | ||
| | 현재 사용 | 거의 안 씀 | 대부분 사용 | | ||
|
|
||
| OAuth 1.0은 서명 기반으로 복잡하고, OAuth 2.0은 토큰 기반으로 단순하고 확장성이 좋다. | ||
|
|
||
| OAuth 2.0은 OAuth 1.0의 복잡한 서명 방식을 제거하고 Access Token 기반 인증을 도입하여 구현이 단순해지고 확장성이 향상된 방식이다. | ||
This file contains hidden or bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
This file contains hidden or bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
This file contains hidden or bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
| Original file line number | Diff line number | Diff line change |
|---|---|---|
| @@ -1,9 +1,32 @@ | ||
| package com.example.umc10th.domain.member.dto; | ||
|
|
||
| import com.example.umc10th.domain.member.enums.Address; | ||
| import com.example.umc10th.domain.member.enums.Gender; | ||
|
|
||
| import java.time.LocalDate; | ||
|
|
||
| public class MemberReqDTO { | ||
|
|
||
| // 마이페이지 | ||
| public record GetInfo( | ||
| Long id | ||
| ){} | ||
|
|
||
| // 회원가입 | ||
| public record SignUpReqDTO( | ||
| String name, | ||
| Gender gender, | ||
| LocalDate birth, | ||
| Address address, | ||
| String detailAddress, | ||
| String phoneNumber, | ||
| String email, | ||
| String password | ||
| ){} | ||
|
|
||
| // 로그인 | ||
| public record LoginReqDTO( | ||
| String email, | ||
| String password | ||
| ){} | ||
|
There was a problem hiding this comment. email 필드의 검증 조건이 없다면, swagger에서 확인했을 때 예시 값이 'string'으로 보여 email 형식으로 로그인을 강제하고 있는지 판단하기 어렵습니다. Reqeust DTO는 항상 검증 조건을 체크해야 합니다. |
||
| } | ||
This file contains hidden or bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
This file contains hidden or bidirectional Unicode text that may be interpreted or compiled differently than what appears below. To review, open the file in an editor that reveals hidden Unicode characters.
Learn more about bidirectional Unicode characters
Oops, something went wrong.
Add this suggestion to a batch that can be applied as a single commit.
This suggestion is invalid because no changes were made to the code.
Suggestions cannot be applied while the pull request is closed.
Suggestions cannot be applied while viewing a subset of changes.
Only one suggestion per line can be applied in a batch.
Add this suggestion to a batch that can be applied as a single commit.
Applying suggestions on deleted lines is not supported.
You must change the existing code in this line in order to create a valid suggestion.
Outdated suggestions cannot be applied.
This suggestion has been applied or marked resolved.
Suggestions cannot be applied from pending reviews.
Suggestions cannot be applied on multi-line comments.
Suggestions cannot be applied while the pull request is queued to merge.
Suggestion cannot be applied right now. Please check back later.
There was a problem hiding this comment.
Choose a reason for hiding this comment
The reason will be displayed to describe this comment to others. Learn more.
OAuth 2.0을 Access Token 기반이라고만 정리하면 핵심 흐름이 다소 단순화됩니다. Authorization Code Grant 기준으로 client, resource owner, authorization server, resource server의 역할과 redirect URI, scope가 왜 필요한지까지 함께 정리하는 것을 권장합니다.