📝 동시세션 제어 동일한 계정으로 들어왓을 때 동시 세션 제어 http.sessionManagement() // 세션 관리 기능 작동 .maximumSession(1) // 최대 허용 가능 세션 수, -1: 무제한 로그인 세션 허용 .maxSessionPreventsLogin(true) // 동시로그인 차단, false: 기존 세션 만료(default) .invalidSessionUrl("/invalid) // 세션이 유효하지 않을 때 이동 할 페이지 .expiredUrl("/expired") //세션 만료된 경우 이동 할 페이지 .sessionFixation().changeSessionId() // 인증 성공 시 세션은 그대로두고 세션아이디를 변경한다 📝 세션고정보호 인증에 성공할 때마다 새로운 세션을..
AnonymousAuthenticationFilter 익명사용자 인증 처리 필터 AnonymousAuthenticationFilter 는 null아 아니라 별도의 익명사용자를 만들어 처리한다. 인증객체를 세션에 저장하지 않는다 인증을 받게되면 세션에 user객체를 저장한다. 저장 후, 어떤 자원에 접근하려고하면 인증객체가 존재하는지 or null인지 체크하여 null이면 접근을 못하게하고 null이 아니면 인증된걸로 인식하여 접근하게한다 익명객체 존재여부 판단(익명객체는 보통 SecurityCotext에 있다) 존재한다. 그 다음필터 실행 존재하지 않는다. -> 인증객체 생성 (AnonymousAuthenticationToken) 테스트 @Configuration @EnableWebSecurity @Re..
📝 Remember Me 인증 세션이 만료되고 웹 브라우저가 종료된 후에도 어플리케이션이 사용자를 기억하는 기능 Remember-Me 쿠키에 대한 Http 요청을 확인한 후 토큰기반 인증을 사용해 유효성을 검사 후 토큰이 검증되면 사용자가 로그인 된다. http.rememberMe() // remember 기능 작동 package kyh.security.basicsecurity; @Configuration @EnableWebSecurity @RequiredArgsConstructor public class SecurityConfig extends WebSecurityConfigurerAdapter { private final UserDetailsService userDetailsService; @Over..
| Logout 처리 http.logout() : 로그아웃 기능 작동 http.logout() // 로그아웃 처리 .logoutUrl("/logout") // 로그아웃 처리 URL .logoutSuccessUrl("/login") // 로그아웃 성공 후 이동페이지 .deleteCookies("JSESSIONID“, "remember-me") // 로그아웃 후 쿠키 삭제 .addLogoutHandler(logoutHandler()) // 로그아웃 핸들러 .logoutSuccessHandler(logoutSuccessHandler()) // 로그아웃 성공 후 핸들러 LogoutFilter POST방식으로 처리한다 AutPathRequestMatcher(/logout) 로 logout 링크와 일치하지 않으면 ..
정의 UsernamePasswordAuthenticationFilter는 login Form인증하는 필터이다. AbstractAuthenticationProcessingFilter는 UsernamePasswordAuthenticationFilter의 부모 클래스이다. AuthenticationManager는 인증객체를 받아서 AuthenticationProvider에 인증처리 위임 인증된 Authentication을 SecurityContext 객체에 저장한다. SecurityContext는 인증객체를 저장하는 보관소이다.
WebSecurityConfigurerAdapter WebSecurityConfigurerAdapter 을 상속받고 configure를 오버라이드하여 사용한다. WebSecurityConfigurerAdapter - configure protected void configure(HttpSecurity http) throws Exception { this.logger.debug("Using default configure(HttpSecurity). If subclassed this will potentially override subclass configure(HttpSecurity)."); http.authorizeRequests((requests) -> { ((AuthorizedUrl)requests...
| Security Filter Spring Security의 동작은 사실상 Filter로 동작한다고 해도 무방하다. 각 Filter 들은 각자 다른 기능을 하고 있다. 이런 Filter들은 유기적으로 제외, 추가 및 순서를 정할 수 있다. 필터의 종류는 많지만 가장 많이 쓰이는 필터는 아래와 같다 SecurityContextPersistenceFilter BasicAuthenticationFilter CsrfFilter RememberMeAuthenticationFilter AnonymousAuthenticationFilter FilterSecurityInterceptor ExceptionTranslationFilter 1. SecurityContextPersistenceFilter 역할 Securit..
| ThreadLocal 대부분의 경우 요청 1개에 Thread 1개가 생성된다. 이때 ThreadLocal을 사용하면 Thread마다 고유한 공간을 만들 수 있고 그곳에 SecurityContext를 저장할 수 있다. 공유전략으로 3가지 방법이 있으며 기본적으로 ThreadLocal을 사용한다 MODE_THREADLOCAL, MODE_INHERITABLETHREADLOCAL, MODE_GLOBAL 대부분 ThreadLocal을 사용한다 Spring Security의 기본적인 Security Context 관리 전략은 ThreadLocal을 사용하는 ThreadLocalSecurityContextHolderStrategy이다. 변수는 지연변수, 전역변수 등 유효한 Scope을 가진다. 마찬가지로 Thre..
| Spring Security 내부구조 SecurityContextHolder -> SecurityContext -> Authentication -> Principal & GrantAuthority SecurityContextHolder SecurityContext를 제공하는 static 메소드(getContext)를 지원한다SecurityContext 접근 주체와 인증에 대한 정보를 담고 있는 Context이다. 즉, Authentication을 담고있다 Authentication Principal, GrantAuthority를 제공한다 인증이 이루어지면 해당 Authentication이 저장된다 Principal 유저에 대한 정보 대부분 Principal로 UserDetails를 반환한다 Grant..
| Spring Security 란? 스프링 생태계에서 인증과 인가를 최대한쉽고 유연하게 구현할 수 있도록 만들어진 framework 이다. Web 기반 Application에 보안적인 제한을 추가하기 위해 사용하는 Security Framework 중에 하나이다. Spring Security의 주요 목표는 Rest API endpoint, mvc url, 정적리소스와 같은 리소스들에 접근하려는 요청의 인증을 책임지는 것이다. Spring Security는 생태계와 호환성이 높고 커스텀이 매우 쉽다 https://docs.spring.io/spring-security/reference/index.html Spring Security :: Spring Security If you are ready to s..