🔖 먼저 읽으면 좋은 글 로컬 캐시 & 분산 캐시 이해하기🔖 먼저 읽으면 좋은 글 캐시(Cache) 개념 쉽게 정리하기🚀 캐시(Cache)란?지금까지 데이터가 필요할 때 데이터베이스에서 직접 조회해왔습니다.개발을 공부해봤다면 애플리케이션 성능은 I/O 작syleeblog.tistory.com스프링 프로젝트에서 성능을 개선하는 데 자주 사용되는 기술 중 하나가 캐시입니다. 지난 글들에서 캐시 개념에 대해 알아보았습니다. 이번 글에서는 스프링 프로젝트에 로컬 캐시를 적용해보려 합니다.대표적인 로컬 캐시 Caffeine을 적용하고, `@Cacheable`, `@CachePut`, `@CacheEvict`와 같은 스프링의 캐시 어노테이션에 대해 정리해봅시다.⚙️ 환경SpringBoot 3.4.0build...

JWT (JSON Web Token) 이란JWT(JSON Web Token)이란 유저를 인증하고 식별하기 위한 JSON 토큰을 의미합니다.이 토큰 내에는 사용자의 권한 정보와 같은 인증 정보가 Base64 URL 방식으로 인코딩되어 포함되어 있습니다. 클라이언트가 토큰을 HTTP 헤더에 실어 응답을 보내 서버가 클라이언트를 식별하고 인증/인가를 수행합니다.JWT 구조JWT는 세 파트로 나누어지며, 각 파트는 점으로 구분됩니다.헤더(Header), 페이로드(Payload), 서명(Signature)으로 구성됩니다.헤더(Header)헤더에는 해시 암호화 알고리즘과 토큰 타입 정보가 있습니다.알고리즘: 서명 생성에 사용할 알고리즘 종류ex) HS256, RS256타입: 토큰의 타입, 여기서는 JWT가 되죠.페..

1편: https://syleeblog.tistory.com/51 [Spring Security] 웹 보안 공격 #1: CSRF공격과 XSS 공격 + 대응 전략웹 애플리케이션에서 발생할 수 있는 4가지 주요 보안 공격: CSRF 공격, XSS 공격, 세션 고정 공격, JWT 탈취 공격에 대해 알아보고,이를 방어할 수 있는 Spring Security 또는 일반적인 대응 전략을 살펴syleeblog.tistory.com 📌세션 고정 공격세션 고정 공격은 공격자가 세선 ID를 미리 정해놓고, 피해자가 그 세션을 사용하게 만든 뒤,피해자가 같은 세션으로 로그인했을 때 피해자의 권한을 탈취하는 공격입니다. 즉, 세션 ID를 먼저 만든 사람이 로그인 후에도 계속 그 세션을 사용할 수 있다면,공격자는 피해자의..

웹 애플리케이션에서 발생할 수 있는 4가지 주요 보안 공격: CSRF 공격, XSS 공격, 세션 고정 공격, JWT 탈취 공격에 대해 알아보고,이를 방어할 수 있는 Spring Security 또는 일반적인 대응 전략을 살펴보고자 합니다. 글이 길어져서 두 편에 나누어 씁니다.📌 CSRF 공격CSRF는 Cross-Stie Request Forgery의 줄임말로 "사이트 간 요청 위조"를 의미합니다.인터넷 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위를 특정한 웹 사이트에 요청하도록 만드는 공격입니다. CSRF 공격이 성공하려면 3가지 조건을 만족해야 합니다.사용자는 서버에 로그인되어 있는 상태여야 합니다.해커(공격자)가 사용자의 세션 정보를 쿠키에서 읽을 수 있어야 합니다.해커(공격자) 는 서..

들어가면서 기존의 디스코드잇 프로젝트에서는 관리자, 유저 구분 없이로그인하면 누구나 모든 기능을 사용할 수 있었습니다. 이번 미션에서 role을 정의하고, role에 따라 행동을 제한하기로 했습니다.이 포스팅에서는 권한 계층 구조에 대해 알아보고, 이를 코드에 적용해보고자 합니다.개발 환경Spring Boot 3.4.0Spring Security 6.4.1권한 계층 구조 Role HierarchySpring Security의 권한 계층 구조(Role Hierarchy) 는 역할(Role) 간의 포함 관계를 정의하는 기능입니다.회사에서 사장이 부장의 모든 권한을 가지고, 부장이 사원의 권한을 모두 가지는 것처럼,더 높은 역할이 더 낮은 역할의 권한을 모두 포함하는 구조를 정의할 수 있습니다. 그런데 왜 R..

⚙️ 개발 환경Spring Boot 3.4.0Spring Security 6.4.1 🚀 목표디스코드잇 미션에서 기존에는 아주 간단한 회원가입, 로그인 인증을 사용했습니다.username, password를 DB에 저장하고, 로그인 시에는 그 값을 가져와 비교하여 응답을 내리는 방식이었습니다. 이번에는 Spring Security에서 커스텀 필터를 구현하여 로그인 시 필터에서 인증하도록 하겠습니다.그리고 이를 바탕으로 로그인 API인 POST /api/login를 구현하겠습니다. 🏫 인증 아키텍처: UsernamePasswordAuthenticationFilter를 중심으로먼저 기본적으로는 어떻게 인증되고 있는지 살펴봐야 합니다.username, password를 사용하는 방식은 유지하므로Usernam..

⚙️ 개발 환경Spring Boot 3.4.0Spring Security 6.4.1 📌 문제 상황디스코드잇 미션에 Spring Security를 적용하며 CSRF 보호 설정을 하고 있었습니다. 이 프로젝트의 프론트엔드는 서버에서 HTML을 모두 생성하는 SSR(Sever Side Rendering) 방식이 아니라,클라이언트(브라우저)에서 Javascript를 활용해 HTML을 생성하는 CSR(Client Side Rendering) 방식입니다.그렇기 때문에 CSRF 토큰 정보 역시 프론트에서 명시적으로 관리해야 했습니다. CSRF 토큰 발급 및 검증 프로세스는 다음과 같습니다. 저는 이 요구사항에 맞춰 백엔드를 구현해야 했습니다. 1. 페이지가 로드될 때 서버로부터 CSRF 토큰 발급2. CSRF 토큰..

이번에 하고 있는 디스코드잇 미션에서Spring Security를 도입하게 되었습니다. 기본적인 SecurityFilterChain을 등록하고, 이때 등록되는 필터 목록을 디버깅해봐야 합니다.구글링 결과 디버깅 외에도 로그로 확인할 수 있는 방법이 있어서 오늘은 2가지 방법으로 필터 목록을 확인하고자 합니다. Spring Boot 3.4.0 / Spring Security 6.4.1 환경에서 개발하고 있습니다.다음과 같이 build.gradle에 의존성을 추가합니다.// spring securityimplementation("org.springframework.boot:spring-boot-starter-security")testImplementation("org.springframework.securi..

오늘은 대표적인 사용자 인증 방식인 쿠키 vs 세션 vs JWT 방식에 대해 정리해보겠습니다.제가 들은 강의에서는 세션과 쿠키를 합쳐 설명했는데블로그를 쓰기 위해 자료 조사를 하다보니 쿠키와 세션을 구분짓는 분들이 많으시더라고요.추가적으로 학습한 내용을 종합하여 써봅니다. 먼저 읽으면 좋은 글: 인증과 인가 개념 https://syleeblog.tistory.com/40 🍪 쿠키 방식웹에서 쿠키란 서버가 사용자의 웹 브라우저에 전송하는 작은 데이터 조각입니다.브라우저는 데이터 조각들을 저장해 놓았다가, 동일한 서버에 재 요청 시 저장된 데이터를 함게 전송합니다.출처: MDN WEB DOCS 1. 클라이언트가 서버에 로그인 인증 요청을 보냅니다.2. 서버에서는 적합한 유저인지 인증합니다.3. 인증이 완..