Dev Log

IntroOAuth 개념, 동작원리, 네이버/카카오 애플리케이션 등록방법은 이전글에서 정리하였다.OAuth 개념 파해치기 (1/4)OAuth 네이버, 카카오 애플리케이션 등록 (2/4)OAuth Authorization Code Grant 동작 원리 (3/4) dependency org.springframework.boot spring-boot-starter-oauth2-client   application.yml더보기spring: security: oauth2: client: registration: naver: client-id: {client-id} client-secret: {client-secret} ..

Spring/Spring Security 2024. 12. 23. 08:00

IntroOAuth2 프로토콜에서는 다양한 클라이언트 환경에 적합한 인증 및 권한의 위임 방법(Grant Type)을 제공하고 그 결과로 클라이언트에게 Access Token을 발급한다.4개의 권한 위임 방법이 있으며 아래와 같다.Authorization Code (권한 부여 승인 코드 방식)Implicit (암묵적 승인 방식)Client Credentials (클라이언트 자격 증명 승인 방식)Resource Owner Password Credentials (자원 소유자 자격증명 승인 방식)가장 많이 사용하는 Authorization Code (권한 부여 승인 코드 방식)의 동작 원리에 대해 정리하고자 한다.OAuth인증의 최종 목적은 Access Token을 발급하는 것이다.한 번의 인증 이후에 실제로..

Spring/Spring Security 2024. 12. 20. 09:17

IntroOAuth 서비스를 이용하기 전에 Client를 Resource Server에 등록해야 하는 작업이 선행되어야 한다.이때, Redirect URI도 등록해야 한다.  Redirect URI은 사용자가 OAuth 2.0 서비스에서 인증을 마치고 (구글, 네이버, 카카오 등의 로그인 페이지에서 로그인을 마쳤을 때) 사용자를 리디렉션 시킬 위치이다. Redirect URIOAuth 서비스는 인증이 성공한 사용자를 사전에 등록된 Redirect URI로만 리디렉션 시킨다.  일부 OAuth 서비스는 여러 Redirect URI를 등록할 수 있다.Redirect URI는 기본적으로 보안을 위해 https만 허용된다. 단, 루프백(localhost)은 예외적으로 http가 허용된다.Client ID, Cl..

Spring/Spring Security 2024. 12. 19. 10:57

OAuth란OAuth(Open Authorization) 인증을 위한 개방형 표준 프로토콜이다. OAuth는 리소스를 소유하고 있는 소유자(Resource Owner)를 대신하여 리소스(Resource)에 대한 접근을 제어할 수 있다.  이 프로토콜은 접근하고자 하는 리소스를 소유하고 있는 리소스 소유자(Resource Owner)와 리소스 서버(Resource Server), 이를 사용하고자 하는 클라이언트(Client), 그리고 접근 권한을 관리하는 인증 서버(Authorization Server)의 승인 상호작용으로 유저에게 인증과 인가를 제공하여 결과적으로 리소스를 접근하게 할 수 있다. 구글, 페이스북, 카카오, 네이버 등에서 제공하는 간편 로그인 기능도 OAuth2 프로토콜 기반의 사용자 인증..

Spring/Spring Security 2024. 12. 18. 17:34

IntroAuthorizationFilter가 도입되면서, 기존의 FilterSecurityInterceptor를 대체할 수 있는 옵션이 제공되었다.이 변화는 Spring Security의 현대적이고 유연한 보안 구성 방식을 반영하며, 간결하고 효율적인 권한 관리를 가능하게 한다. FilterSecurityInterceptor를 이용한 구현은 아래 포스팅을 참고하기 바란다.[Spring/Spring Security] - Spring Security - FilterSecurityInterceptor 이해 및 Example Spring Security - FilterSecurityInterceptor 이해 및 ExampleIntroSpring Security의 인증과 인가에 대한 내용을 복기해 보자.Auth..

Spring/Spring Security 2024. 12. 1. 18:11

IntroSpring Security의 인증과 인가에 대한 내용을 복기해 보자.Authentication(인증) : 해당 사용자가 본인이 맞는지 확인하는 절차. Authorization(인가) : 인증된 사용자가 요청된 자원에 접근가능한가를 결정하는 절차Spring Security + JWT 인증 (2/2) - Spring Security 설정Spring Security + JWT 인증 (1/2) - JWT 구현 JWT를 통해 인증을 진행하도록 구성하였다.FilterSecurityInterceptor를 적용하여 인가에 대한 내용을 정리해 보자.FilterSecurityInterceptor인가처리를 담당하는 필터시큐리티 필터들 중 마지막에 위치하며 인증된 사용자의 특정 요청 승인/거부 최종 결정인증객체 없..

Spring/Spring Security 2024. 11. 11. 08:00

SpringBoot환경에서 Spring Security기반에 JWT 인증 방식을 구현하도록 하겠다.이번 포스팅에서는 Spring Security에 대한 내용이다. Spring Security, JWT 개념과 JWT 구현에 대한 내용은 아래 포스팅을 참고하기 바란다. Spring Security 개념 및 ArchitectureJWT(Json Web Token) 정리Spring Security + JWT 인증 (1/2) - JWT 구현  dependency 추가 org.springframework.boot spring-boot-starter-security application.ymlpermit: url: /favicon.ico, /auth/** Spring Security와 JWT인..

Spring/Spring Security 2024. 8. 21. 15:24

SpringBoot환경에서 Spring Security기반에 JWT 인증 방식을 구현하도록 하겠다.Spring Security와 JWT에 대한 개념은 아래 포스팅을 참고하기 바란다. Spring Security 개념 및 ArchitectureJWT(Json Web Token) 정리 Spring Security 설정은 아래 포스팅을 참고하기 바란다. Spring Security + JWT 인증 (2/2) - Spring Security 설정JWT 구현 요약Access Token + Refresh Token 발행 (Access Token은 Refresh Token보다 만료기간 짧게 설정)Refresh Token은 DB에 저장 (Refresh Token은 UUID로 발행)Refresh Token은 일회성으로 ..

Spring/Spring Security 2024. 8. 20. 16:35