spring
-
Spring security - 4. 중복 로그인 로그아웃 시키기Spring Security/security 2023. 11. 17. 15:28
Spring security는 session을 관리 할 수 있어서, 같은 사용자가 들어왔을 때 기존에 로그인한 session 또는 마지막에 로그인한 session을 선택해서 로그아웃을 시킬 수 있다고 한다. * 코드 작성 httpSecurity에 sessionManagement 설정을 넣어주어야 한다. sessionFixation에서 chageSessionId 설정을 하는데, 동일한 아이디로 계속 로그인을 해도 SessionId가 변경이 안된다고 하는 것 같다. SessionId가 변경이 안되고 고정되면 xss공격으로 SessionId를 탈취 할 수 있다고 한다. 그래서 cahgeSessionId설정을 통해 중복 로그인시 SessionId를 변경한다. maximunSessions를 통해 Session의 ..
-
Spring security - 1. Spring security에 대해Spring Security/security 2023. 11. 8. 13:45
Spring security Spring에서 어플리케이션의 인증과 인가를 담당하는 Spring의 하위 보안 프레임 워크. Spring security에서 인증과 인가는 서블릿컨테이너 안에서 DispatchServlet으로 가기전에 filter chain에서 동작. filter chain은 Security 설정으로 사용자가 addFilter() 라는 메소드를 통해 설정 할 수 있다. 인증과 인가 인증(Authentication) 인증은 우리 서버에 맞는 사용자인지 확인하는 절차. ID, PW로 확인하거나 OAuth라는 개방형 인증 절차를 통해 확인함. 인증된 사용자는 등록된 정보에 맞게 권한을 부여받음. (User, Admin 등) 인가(Authorization) 인증된 사용자에 대한 권한을 확인하고 어떠..