Spring의 핵심 개념에는 DI(Dependency Injection), IoC(Inversion of Control), AOP(Aspect-Oriented Programming)가 있습니다. 이 글에서는 DI: 의존성 주입의 개념과 필요성, 사용 방법을 다룹니다.📌 DI: 의존성 주입의존성이란?한 객체가 다른 객체를 사용할 때 의존성이 있다고 합니다.예를 들어 `OrderService`가 `OrderRepository`를 사용한다면, `OrderService`는 `OrderRepository`에 의존합니다.Spring의 특징 중 제어의 역전에 대해 공부할 때객체의 생성과 의존성 관리를 개발자가 아닌 스프링 프레임워크의 IoC 컨테이너가 담당하고 있다고 했습니다. 의존성 주입은 IoC를 구현하는 방법..

이 글에서는 Spring의 핵심 개념 중 IoC(Inversion of Control): 제어의 역전에 대해 알아봅니다.📌 제어의 역전 - IoC란?전통적인 프로그래밍 방식에서는 개발자가 언제 어느 객체를 생성하고 폐기할지, 어떤 흐름으로 실행할지를 모두 직접 결정했습니다.제어의 역전은 애플리케이션의 제어 흐름을 개발자가 아닌 프레임워크가 관리하도록 하는 원칙입니다. 즉, 객체의 생성과 생명주기, 의존성 관리를 개발자가 직접 하지 않고, 프레임워크에 위임하는 것이죠. 애플리케이션 제어 권한이 개발자에서 프레임워크로 역전되어 "제어의 역전"이라고 합니다 이때 프레임워크의 어느 구성 요소가 이 역할을 할까요?🪣 IoC 컨테이너컨테이너란? 객체의 생성, 초기화, 소멸 등 생명 주기를 관리하며, 생성된 객체..

JWT (JSON Web Token) 이란JWT(JSON Web Token)이란 유저를 인증하고 식별하기 위한 JSON 토큰을 의미합니다.이 토큰 내에는 사용자의 권한 정보와 같은 인증 정보가 Base64 URL 방식으로 인코딩되어 포함되어 있습니다. 클라이언트가 토큰을 HTTP 헤더에 실어 응답을 보내 서버가 클라이언트를 식별하고 인증/인가를 수행합니다.JWT 구조JWT는 세 파트로 나누어지며, 각 파트는 점으로 구분됩니다.헤더(Header), 페이로드(Payload), 서명(Signature)으로 구성됩니다.헤더(Header)헤더에는 해시 암호화 알고리즘과 토큰 타입 정보가 있습니다.알고리즘: 서명 생성에 사용할 알고리즘 종류ex) HS256, RS256타입: 토큰의 타입, 여기서는 JWT가 되죠.페..

1편: https://syleeblog.tistory.com/51 [Spring Security] 웹 보안 공격 #1: CSRF공격과 XSS 공격 + 대응 전략웹 애플리케이션에서 발생할 수 있는 4가지 주요 보안 공격: CSRF 공격, XSS 공격, 세션 고정 공격, JWT 탈취 공격에 대해 알아보고,이를 방어할 수 있는 Spring Security 또는 일반적인 대응 전략을 살펴syleeblog.tistory.com 📌세션 고정 공격세션 고정 공격은 공격자가 세선 ID를 미리 정해놓고, 피해자가 그 세션을 사용하게 만든 뒤,피해자가 같은 세션으로 로그인했을 때 피해자의 권한을 탈취하는 공격입니다. 즉, 세션 ID를 먼저 만든 사람이 로그인 후에도 계속 그 세션을 사용할 수 있다면,공격자는 피해자의..

웹 애플리케이션에서 발생할 수 있는 4가지 주요 보안 공격: CSRF 공격, XSS 공격, 세션 고정 공격, JWT 탈취 공격에 대해 알아보고,이를 방어할 수 있는 Spring Security 또는 일반적인 대응 전략을 살펴보고자 합니다. 글이 길어져서 두 편에 나누어 씁니다.📌 CSRF 공격CSRF는 Cross-Stie Request Forgery의 줄임말로 "사이트 간 요청 위조"를 의미합니다.인터넷 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위를 특정한 웹 사이트에 요청하도록 만드는 공격입니다. CSRF 공격이 성공하려면 3가지 조건을 만족해야 합니다.사용자는 서버에 로그인되어 있는 상태여야 합니다.해커(공격자)가 사용자의 세션 정보를 쿠키에서 읽을 수 있어야 합니다.해커(공격자) 는 서..

들어가면서 기존의 디스코드잇 프로젝트에서는 관리자, 유저 구분 없이로그인하면 누구나 모든 기능을 사용할 수 있었습니다. 이번 미션에서 role을 정의하고, role에 따라 행동을 제한하기로 했습니다.이 포스팅에서는 권한 계층 구조에 대해 알아보고, 이를 코드에 적용해보고자 합니다.개발 환경Spring Boot 3.4.0Spring Security 6.4.1권한 계층 구조 Role HierarchySpring Security의 권한 계층 구조(Role Hierarchy) 는 역할(Role) 간의 포함 관계를 정의하는 기능입니다.회사에서 사장이 부장의 모든 권한을 가지고, 부장이 사원의 권한을 모두 가지는 것처럼,더 높은 역할이 더 낮은 역할의 권한을 모두 포함하는 구조를 정의할 수 있습니다. 그런데 왜 R..

⚙️ 개발 환경Spring Boot 3.4.0Spring Security 6.4.1 🚀 목표디스코드잇 미션에서 기존에는 아주 간단한 회원가입, 로그인 인증을 사용했습니다.username, password를 DB에 저장하고, 로그인 시에는 그 값을 가져와 비교하여 응답을 내리는 방식이었습니다. 이번에는 Spring Security에서 커스텀 필터를 구현하여 로그인 시 필터에서 인증하도록 하겠습니다.그리고 이를 바탕으로 로그인 API인 POST /api/login를 구현하겠습니다. 🏫 인증 아키텍처: UsernamePasswordAuthenticationFilter를 중심으로먼저 기본적으로는 어떻게 인증되고 있는지 살펴봐야 합니다.username, password를 사용하는 방식은 유지하므로Usernam..

⚙️ 개발 환경Spring Boot 3.4.0Spring Security 6.4.1 📌 문제 상황디스코드잇 미션에 Spring Security를 적용하며 CSRF 보호 설정을 하고 있었습니다. 이 프로젝트의 프론트엔드는 서버에서 HTML을 모두 생성하는 SSR(Sever Side Rendering) 방식이 아니라,클라이언트(브라우저)에서 Javascript를 활용해 HTML을 생성하는 CSR(Client Side Rendering) 방식입니다.그렇기 때문에 CSRF 토큰 정보 역시 프론트에서 명시적으로 관리해야 했습니다. CSRF 토큰 발급 및 검증 프로세스는 다음과 같습니다. 저는 이 요구사항에 맞춰 백엔드를 구현해야 했습니다. 1. 페이지가 로드될 때 서버로부터 CSRF 토큰 발급2. CSRF 토큰..

오늘은 대표적인 사용자 인증 방식인 쿠키 vs 세션 vs JWT 방식에 대해 정리해보겠습니다.제가 들은 강의에서는 세션과 쿠키를 합쳐 설명했는데블로그를 쓰기 위해 자료 조사를 하다보니 쿠키와 세션을 구분짓는 분들이 많으시더라고요.추가적으로 학습한 내용을 종합하여 써봅니다. 먼저 읽으면 좋은 글: 인증과 인가 개념 https://syleeblog.tistory.com/40 🍪 쿠키 방식웹에서 쿠키란 서버가 사용자의 웹 브라우저에 전송하는 작은 데이터 조각입니다.브라우저는 데이터 조각들을 저장해 놓았다가, 동일한 서버에 재 요청 시 저장된 데이터를 함게 전송합니다.출처: MDN WEB DOCS 1. 클라이언트가 서버에 로그인 인증 요청을 보냅니다.2. 서버에서는 적합한 유저인지 인증합니다.3. 인증이 완..