개발하는 동그리

OAuth2 구글, 카카오, 네이버등 계정을 통해 쉽게 회원가입과 로그인이 가능하도록 하는 서비스로 즉, 소셜로그인 인증 방식 OAuth2 용어 Resource Owner : 접근중인 리소스 유저 Client : 보호된 리소스에 접근하는 애플리케이션 Resource Server : Authorization Server 에서 발급한 토큰으로 접근하면 요청을 응답하는 서버 Authorization Server : 클라이언트에게 엑세스 토큰을 발급하는 서버 Authorization Grant : 클라이언트가 엑세스 토큰을 얻는 방법 Authorization Code Grant Type ⭐⭐⭐ Client Credentials Grant Type Implicit Grant Type Resource Owner C..

Cors란~? 현재 IP가 아닌 다른 IP로 리소스를 요청하는 구조를 말함 Origin SOP Access-Control-Allow-Origin Origin 요청이 시작된 서버의 위치를 뜻한다. 클라이언트(http://2000) -> 서버(http://3000) 에 로그인 요청을 하면 이것이 Origin이 다르므로, Cross Origin라 불림 서버(http://3000) -> 서버(http://3000) 자신의 자료를 요청하면 Same Origin이라 불림 Origin을 구분하는 방법은 스키마(https), HOST(choonsik-lab.tistory), Port(80)와 같이 구분 SOP (Same Origin Policy) RFC 6454에서 등장한 보안 정책으로 동일한 출처의 Origin만 리..

@Configuration Bean 등록 ( 싱글톤 보장 ) 설정 파일 명시 @EnableWebSecurity 스프링 시큐리티 설정 활성화 다음은 antMatchers() 로 지정할 수 있는 항목들입니다. hasRole() or hasAnyRole() 특정 권한을 가지는 사용자만 접근할 수 있습니다. hasAuthority() or hasAnyAuthority() 특정 권한을 가지는 사용자만 접근할 수 있습니다. hasIpAddress() 특정 아이피 주소를 가지는 사용자만 접근할 수 있습니다. permitAll() or denyAll() 접근을 전부 허용하거나 제한합니다. rememberMe() 리멤버 기능을 통해 로그인한 사용자만 접근할 수 있습니다. anonymous() 인증되지 않은 사용자가 접근..

HTTPS 인증서(Certificate) 데이터 제공자 신원 보장 도메인 종속 기밀성 : 메세지 가로챌 수 없음 무결성 : 메세지를 수정할 수 없음 CA (Certificate Authority) 공인인증서 발급기관 CA가 발급된 인증서를 이용하면 안전한 서버라는 것을 사용자에게 알려줄 수 있음 서버와 클라이언트 간의 CA를 통해 서버를 인증 과정 + 데이터 암호화 과정을 거치는데 이 프로토콜을 TLS라고 부름 대칭키 암호화 한개의 암호화, 복호화 비대칭 키 암호화 한 쌍의 키를 가지고 있다. ( 암호화, 복호화 ) 통신 과정 Hand Shake (탐색 과정) -> To 서버에게 임의 문자 Hello 키 제작용 랜덤 스트링 전송 세션 키로 암호화 된 메세지 전달 localhost.p12 파일 생성 완료 ..