jhhan의 블로그

Spring Security에 관해 좀 더 실제 코드를 살펴 보겠습니다. @EnableWebSecurity public class SecurityConfig extends WebSecurityConfigurerAdapter { @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers("/adminOnly").hasAuthority("ROLE_ADMIN") .antMatchers("/**").permitAll() // 넓은 범위의 URL을 아래로 배치 .anyRequest().authenticated() // ? .and() .csrf().disable() .form..

CSRF(XSRF)에 대해 알아보겠습니다. Cross-Site Request Forgery ; 사이트 간 요청 위조 특징 웹사이트 취약점 공격의 하나로 사용자(희생자)가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정, 삭제, 등록 등)를 특정 웹사이트에 요청하게 하는 공격입니다. 희생자의 권한으로 희생자가 모르게 공격자의 의도대로 요청을 수행하도록 합니다. 희생자의 권한에 따라 위험성이 달라집니다. http통신의 stateless특성을 이용한 것으로, 쿠키정보만 이용해서 사용자의 의도하지 않은 공격이 가능합니다. 예전 옥션에서 발생한 개인정보유출사건에 사용된 공격방식이기도 합니다. ex)어떤 웹사이트에 로그인한 상태 "https://xxxx.com/logout" 같은 url을 클릭 시 실제 사용자는..

Spring에 대해 배우다 보니 Security도 다뤄야 할 부분이 생겨서 Security도 어느정도 정리하려고 합니다. ** Security부분이어서 보안관련 탭으로 이동했습니다... 이번 글은 아래의 블로그를 참조했습니다. https://coding-start.tistory.com/153 Spring boot - Spring Security(스프링 시큐리티) 란? 완전 해결! 오늘 포스팅할 내용은 Spring Security이다. 사실 필자는 머리가 나빠서 그런지 모르겠지만, 아무리 구글링을 통해 스프링 시큐리티를 검색해도 이렇다할 명쾌한 해답을 얻지 못했다. 대부분 이론적인 설명들은.. coding-start.tistory.com Security Spring 기반의 애플리케이션의 보안을 담당하는 S..