Spring/Spring Security

[SpringBoot] 스프링부트 CSRF(Cross-Site Request Forgery)

CSRF를 파헤쳐 보자 CSRF는 아마 Spring Security를 설정하고 이전과 같이 http 요청을 보낼 때 403 에러가 뜨는 경우 처음 접하는 경우가 많다고 생각합니다. CSRF는 악의적인 웹사이트에서 사용자가 의도치 않게 특정 웹 어플리케이션에 대한 요청을 보내는 공격을 막기 위한 보안 기술입니다. Spring Security에서는 CSRF 공격으로부터 보호하기 위해 기본적으로 활성화되어 있습니다. 아래와 같이 Spring Security에서 CSRF 보호를 해제하기 위해 disable() 메서드를 사용하는 경우, CSRF 보호 기능이 완전히 비활성화되어 웹 어플리케이션이 보안 취약성에 노출될 수 있습니다. 따라서 이를 사용할 때에는 보안적인 측면을 고려하여 신중하게 사용해야 합니다. 웹에선..

[SpringBoot] 스프링부트 Spring Security

1. Spring Security란? [ Spring Security ] Spring Security는 Spring 기반의 애플리케이션의 보안(인증과 권한, 인가 등)을 담당하는 스프링 하위 프레임워크이다. Spring Security는 '인증'과 '권한'에 대한 부분을 Filter 흐름에 따라 처리하고 있다. Filter는 Dispatcher Servlet으로 가기 전에 적용되므로 가장 먼저 URL 요청을 받지만, Interceptor는 Dispatcher와 Controller사이에 위치한다는 점에서 적용 시기의 차이가 있다. Spring Security는 보안과 관련해서 체계적으로 많은 옵션을 제공해주기 때문에 개발자 입장에서는 일일이 보안관련 로직을 작성하지 않아도 된다는 장점이 있다. 이러한 Sp..