JWT (JSON Web Token) 이란JWT(JSON Web Token)이란 유저를 인증하고 식별하기 위한 JSON 토큰을 의미합니다.이 토큰 내에는 사용자의 권한 정보와 같은 인증 정보가 Base64 URL 방식으로 인코딩되어 포함되어 있습니다. 클라이언트가 토큰을 HTTP 헤더에 실어 응답을 보내 서버가 클라이언트를 식별하고 인증/인가를 수행합니다.JWT 구조JWT는 세 파트로 나누어지며, 각 파트는 점으로 구분됩니다.헤더(Header), 페이로드(Payload), 서명(Signature)으로 구성됩니다.헤더(Header)헤더에는 해시 암호화 알고리즘과 토큰 타입 정보가 있습니다.알고리즘: 서명 생성에 사용할 알고리즘 종류ex) HS256, RS256타입: 토큰의 타입, 여기서는 JWT가 되죠.페..

1편: https://syleeblog.tistory.com/51 [Spring Security] 웹 보안 공격 #1: CSRF공격과 XSS 공격 + 대응 전략웹 애플리케이션에서 발생할 수 있는 4가지 주요 보안 공격: CSRF 공격, XSS 공격, 세션 고정 공격, JWT 탈취 공격에 대해 알아보고,이를 방어할 수 있는 Spring Security 또는 일반적인 대응 전략을 살펴syleeblog.tistory.com 📌세션 고정 공격세션 고정 공격은 공격자가 세선 ID를 미리 정해놓고, 피해자가 그 세션을 사용하게 만든 뒤,피해자가 같은 세션으로 로그인했을 때 피해자의 권한을 탈취하는 공격입니다. 즉, 세션 ID를 먼저 만든 사람이 로그인 후에도 계속 그 세션을 사용할 수 있다면,공격자는 피해자의..

웹 애플리케이션에서 발생할 수 있는 4가지 주요 보안 공격: CSRF 공격, XSS 공격, 세션 고정 공격, JWT 탈취 공격에 대해 알아보고,이를 방어할 수 있는 Spring Security 또는 일반적인 대응 전략을 살펴보고자 합니다. 글이 길어져서 두 편에 나누어 씁니다.📌 CSRF 공격CSRF는 Cross-Stie Request Forgery의 줄임말로 "사이트 간 요청 위조"를 의미합니다.인터넷 사용자가 자신의 의지와는 무관하게 공격자가 의도한 행위를 특정한 웹 사이트에 요청하도록 만드는 공격입니다. CSRF 공격이 성공하려면 3가지 조건을 만족해야 합니다.사용자는 서버에 로그인되어 있는 상태여야 합니다.해커(공격자)가 사용자의 세션 정보를 쿠키에서 읽을 수 있어야 합니다.해커(공격자) 는 서..

들어가면서 기존의 디스코드잇 프로젝트에서는 관리자, 유저 구분 없이로그인하면 누구나 모든 기능을 사용할 수 있었습니다. 이번 미션에서 role을 정의하고, role에 따라 행동을 제한하기로 했습니다.이 포스팅에서는 권한 계층 구조에 대해 알아보고, 이를 코드에 적용해보고자 합니다. 개발 환경Spring Boot 3.4.0Spring Security 6.4.1권한 계층 구조 Role HierarchySpring Security의 권한 계층 구조(Role Hierarchy) 는 역할(Role) 간의 포함 관계를 정의하는 기능입니다.회사에서 사장이 부장의 모든 권한을 가지고, 부장이 사원의 권한을 모두 가지는 것처럼,더 높은 역할이 더 낮은 역할의 권한을 모두 포함하는 구조를 정의할 수 있습니다. 그런데 왜 ..

⚙️ 개발 환경Spring Boot 3.4.0Spring Security 6.4.1 🚀 목표디스코드잇 미션에서 기존에는 아주 간단한 회원가입, 로그인 인증을 사용했습니다.username, password를 DB에 저장하고, 로그인 시에는 그 값을 가져와 비교하여 응답을 내리는 방식이었습니다. 이번에는 Spring Security에서 커스텀 필터를 구현하여 로그인 시 필터에서 인증하도록 하겠습니다.그리고 이를 바탕으로 로그인 API인 POST /api/login를 구현하겠습니다. 🏫 인증 아키텍처: UsernamePasswordAuthenticationFilter를 중심으로먼저 기본적으로는 어떻게 인증되고 있는지 살펴봐야 합니다.username, password를 사용하는 방식은 유지하므로Usernam..

⚙️ 개발 환경Spring Boot 3.4.0Spring Security 6.4.1 📌 문제 상황디스코드잇 미션에 Spring Security를 적용하며 CSRF 보호 설정을 하고 있었습니다. 이 프로젝트의 프론트엔드는 서버에서 HTML을 모두 생성하는 SSR(Sever Side Rendering) 방식이 아니라,클라이언트(브라우저)에서 Javascript를 활용해 HTML을 생성하는 CSR(Client Side Rendering) 방식입니다.그렇기 때문에 CSRF 토큰 정보 역시 프론트에서 명시적으로 관리해야 했습니다. CSRF 토큰 발급 및 검증 프로세스는 다음과 같습니다. 저는 이 요구사항에 맞춰 백엔드를 구현해야 했습니다. 1. 페이지가 로드될 때 서버로부터 CSRF 토큰 발급2. CSRF 토큰..

오늘은 대표적인 사용자 인증 방식인 쿠키 vs 세션 vs JWT 방식에 대해 정리해보겠습니다.제가 들은 강의에서는 세션과 쿠키를 합쳐 설명했는데블로그를 쓰기 위해 자료 조사를 하다보니 쿠키와 세션을 구분짓는 분들이 많으시더라고요.추가적으로 학습한 내용을 종합하여 써봅니다. 먼저 읽으면 좋은 글: 인증과 인가 개념 https://syleeblog.tistory.com/40🍪 쿠키 방식웹에서 쿠키란 서버가 사용자의 웹 브라우저에 전송하는 작은 데이터 조각입니다.브라우저는 데이터 조각들을 저장해 놓았다가, 동일한 서버에 재 요청 시 저장된 데이터를 함게 전송합니다.출처: MDN WEB DOCS 1. 클라이언트가 서버에 로그인 인증 요청을 보냅니다.2. 서버에서는 적합한 유저인지 인증합니다.3. 인증이 완료..

서론코드잇 스프린트 트랙도 어느덧 5개월 차에 접어들었습니다.스프린트 미션이나 프로젝트에서는 로그인 로직과 관련해 보안을 크게 신경 쓰지 않았는데이번에 Spring Security에 대해 배우기 시작했어요.강의 내용과 내가 이전에 알고 있던 내용, 새로 조사한 내용을 합쳐 블로그 포스팅으로 정리하는 것이 목표입니다. 이전에는 누가 볼거라 생각 안 하고 개인적으로 공부하는 거라 '-이다'라는 어미를 많이 썼는데추후 면접을 대비해 누구에게 알려주듯이 글을 써보고 싶어 어투가 바뀌었습니다. 끝까지 포스팅을 잘 써 누군가에게 실제로 도움이 되면 좋겠네요.아자아자! Spring Security를 이해하기 위해서이 두 가지 개념은 구분할 수 있어야 합니다.🔓 인증(Authentication)인증이란, 내가 누구..

들어가면서개인적으로 공부한 내용과 생각한 내용을 담아 작성한 포스팅입니다.틀린 내용이 있다면 댓글로 공유해주세요!✅ 개념 체크데이터베이스에서는 외래 키로 연관 관계를 나타내고, 객체 지향 프로그래밍에서는 객체 간의 참조로 나타낸다.JPA를 활용한다는 것은 RDB 외래 키를 객체 간 연관관계로 매핑한다는 것.엔티티: 데이터베이스의 테이블과 1:1로 대응되는 개념이다.한 인스턴스는 DB 테이블의 한 row에 해당한다.JPA에서는 영속성 컨텍스트에 의해 관리된다.엔티티 클래스에는 반드시 PK 식별자가 있다. (@Id 어노테이션으로 정의한다.)기본 생성자를 필수로 가져야 한다. (@NoArgsConstructor 어노테이션을 사용한다.)엔티티의 필드는 데이터베이스 테이블의 컬럼과 대응된다.양방향: 두 객체가 서..