🌿Spring

구현 계기이전에 진행한 "모두의 뉴스"라는 프로젝트에 페이지네이션 등 조회 API 구현을 담당한 적이 있습니다.촉박한 일정 탓에 "일단 돌아가게 하자"라는 생각으로 효율적인 쿼리 설계는 깊게 고민하지 않고 구현했습니다.그 후 리팩토링 작업에서 지나치게 복잡한 쿼리를 개선하고, N+1 문제를 해결하는 것에 집중했습니다. 당시 저는 N+1 문제를 해결하여 호출되는 쿼리 횟수를 줄인다면 'DB 부하가 줄어드니 당연히 성능 개선이 되겠지'라고 막연히 생각했습니다.물론 틀린 말은 아닙니다만, "그래서 실제로 성능이 얼마나 개선됐는데?"라는 질문이 따라올 수 있습니다. 마침 코드 리뷰 과정에서 팀원분이 “실행 시간을 직접 측정해보면 개선 효과를 수치로 확인할 수 있을 것 같다”는 피드백을 주셨습니다. 그때까지 저..

📌 횡단관심사와 AOP횡단 관심사는 여러 부분에 공통적으로 걸쳐져 있는 기능들을 말합니다.예를 들어 로깅, 트랜잭션, 인증, 예외 처리가 해당됩니다. AOP(Aspect Oriented Programming)는 관점 지향 프로그래밍으로,로직들을 핵심적인 관점, 부가적인 관점(횡단 관심사)으로 나누어 관점을 기준으로 각각 모듈화하는 것입니다. 핵심적인 비즈니스 로직과 여러 클래스에 걸쳐 존재할 수 있는 로직을 분리하는 것입니다.공통적인 관심사끼리 모듈화하여코드 중복을 줄이고,개발자는 핵심 비즈니스 로직에 더 집중하고,유지 보수성을 높일 수 있습니다.📌 AOP의 주요 용어Aspect: 공통 기능을 모듈화한 것예) 로깅 기능을 Aspect로 정의Join Point: Aspect가 적용될 수 있는 지점예)..

Spring은 공통된 로직을 처리하여 컨트롤러에서 중복된 코드를 제거할 수 있도록 여러 기능을 제공하고 있습니다.오늘은 그 중 필터(Filter)와 인터셉터(Interceptor)에 대해 알아보고 비교해보고자 합니다. 틀린 부분이 있다면 댓글로 알려주세요 :)HTTP 요청이 들어오는 흐름 - 디스패처 서블릿을 중심으로본격적으로 필터와 인터셉터의 개념을 알기 전에클라이언트로부터 서버로 요청이 들어올 때 어떻게 컨트롤러까지 닿는지 이해할 필요가 있습니다.필터와 인터셉터를 검색하면 디스패처 서블릿(Dispatcher Servlet)이라는 용어가 많이 언급되거든요. 이 글에서는 필터와 인터셉터를 이해하기 위한 최소한만 간략히 돌아보겠습니다. 클라이언트에서 요청을 보내면 이는 서버로 들어옵니다.여기서 서버가 톰캣..

Spring의 핵심 개념에는 DI(Dependency Injection), IoC(Inversion of Control), AOP(Aspect-Oriented Programming)가 있습니다. 이 글에서는 DI: 의존성 주입의 개념과 필요성, 사용 방법을 다룹니다.📌 DI: 의존성 주입의존성이란?한 객체가 다른 객체를 사용할 때 의존성이 있다고 합니다.예를 들어 `OrderService`가 `OrderRepository`를 사용한다면, `OrderService`는 `OrderRepository`에 의존합니다.Spring의 특징 중 제어의 역전에 대해 공부할 때객체의 생성과 의존성 관리를 개발자가 아닌 스프링 프레임워크의 IoC 컨테이너가 담당하고 있다고 했습니다. 의존성 주입은 IoC를 구현하는 방법..

이 글에서는 Spring의 핵심 개념 중 IoC(Inversion of Control): 제어의 역전에 대해 알아봅니다.📌 제어의 역전 - IoC란?전통적인 프로그래밍 방식에서는 개발자가 언제 어느 객체를 생성하고 폐기할지, 어떤 흐름으로 실행할지를 모두 직접 결정했습니다.제어의 역전은 애플리케이션의 제어 흐름을 개발자가 아닌 프레임워크가 관리하도록 하는 원칙입니다. 즉, 객체의 생성과 생명주기, 의존성 관리를 개발자가 직접 하지 않고, 프레임워크에 위임하는 것이죠. 애플리케이션 제어 권한이 개발자에서 프레임워크로 역전되어 "제어의 역전"이라고 합니다 이때 프레임워크의 어느 구성 요소가 이 역할을 할까요?🪣 IoC 컨테이너컨테이너란? 객체의 생성, 초기화, 소멸 등 생명 주기를 관리하며, 생성된 객체..

🔖 먼저 읽으면 좋은 글 로컬 캐시 & 분산 캐시 이해하기🔖 먼저 읽으면 좋은 글 캐시(Cache) 개념 쉽게 정리하기🚀 캐시(Cache)란?지금까지 데이터가 필요할 때 데이터베이스에서 직접 조회해왔습니다.개발을 공부해봤다면 애플리케이션 성능은 I/O 작syleeblog.tistory.com스프링 프로젝트에서 성능을 개선하는 데 자주 사용되는 기술 중 하나가 캐시입니다. 지난 글들에서 캐시 개념에 대해 알아보았습니다. 이번 글에서는 스프링 프로젝트에 로컬 캐시를 적용해보려 합니다.대표적인 로컬 캐시 Caffeine을 적용하고, `@Cacheable`, `@CachePut`, `@CacheEvict`와 같은 스프링의 캐시 어노테이션에 대해 정리해봅시다.⚙️ 환경SpringBoot 3.4.0build...

JWT (JSON Web Token) 이란JWT(JSON Web Token)이란 유저를 인증하고 식별하기 위한 JSON 토큰을 의미합니다.이 토큰 내에는 사용자의 권한 정보와 같은 인증 정보가 Base64 URL 방식으로 인코딩되어 포함되어 있습니다. 클라이언트가 토큰을 HTTP 헤더에 실어 응답을 보내 서버가 클라이언트를 식별하고 인증/인가를 수행합니다.JWT 구조JWT는 세 파트로 나누어지며, 각 파트는 점으로 구분됩니다.헤더(Header), 페이로드(Payload), 서명(Signature)으로 구성됩니다.헤더(Header)헤더에는 해시 암호화 알고리즘과 토큰 타입 정보가 있습니다.알고리즘: 서명 생성에 사용할 알고리즘 종류ex) HS256, RS256타입: 토큰의 타입, 여기서는 JWT가 되죠.페..

1편: https://syleeblog.tistory.com/51 [Spring Security] 웹 보안 공격 #1: CSRF공격과 XSS 공격 + 대응 전략웹 애플리케이션에서 발생할 수 있는 4가지 주요 보안 공격: CSRF 공격, XSS 공격, 세션 고정 공격, JWT 탈취 공격에 대해 알아보고,이를 방어할 수 있는 Spring Security 또는 일반적인 대응 전략을 살펴syleeblog.tistory.com 📌세션 고정 공격세션 고정 공격은 공격자가 세선 ID를 미리 정해놓고, 피해자가 그 세션을 사용하게 만든 뒤,피해자가 같은 세션으로 로그인했을 때 피해자의 권한을 탈취하는 공격입니다. 즉, 세션 ID를 먼저 만든 사람이 로그인 후에도 계속 그 세션을 사용할 수 있다면,공격자는 피해자의..

웹 애플리케이션에서 발생할 수 있는 4가지 주요 보안 공격: CSRF 공격, XSS 공격, 세션 고정 공격, JWT 탈취 공격에 대해 알아보고,이를 방어할 수 있는 Spring Security 또는 일반적인 대응 전략을 살펴보고자 합니다. 글이 길어져서 두 편에 나누어 씁니다.📌 CSRF 공격CSRF는 Cross-Stie Request Forgery의 줄임말로 "사이트 간 요청 위조"를 의미합니다.인터넷 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위를 특정한 웹 사이트에 요청하도록 만드는 공격입니다. CSRF 공격이 성공하려면 3가지 조건을 만족해야 합니다.사용자는 서버에 로그인되어 있는 상태여야 합니다.해커(공격자)가 사용자의 세션 정보를 쿠키에서 읽을 수 있어야 합니다.해커(공격자) 는 서..