Security

🔔 Oauth2 적용 전 🔔 Oauth2 실습 개요 최근 개인 프로젝트에서 네이버 로그인을 위해 필요한 부분을 설정하고 로직을 구현했다. 개발 가이드에 맞게 각 단계별로 진행을 했으나… 아무리 봐도 과정 하나 하나를 내 손으로 직접 구현하는게 맞는건가? 라는 의문을 시작으로 좀 더 효율적으로 구현하는 방법을 찾아봤고, 그렇게 Oauth 2.0으로 로그인하는 방식을 찾게 되었다. Oauth2 적용 전 코드 스타일을 떠나서 지금 와서 보니 마치 Oauth 1.0처럼 구현을 하고 있었다. 나 또한, 각 플로우마다 하드 코딩은 줄이고 변수나 함수를 재활용하기 위해, 보안 요소를 생각하면서 구현했었다. ...

🔔 Oauth2? 그럼 Oauth1도? 🔔 Oauth2 동작 과정 RFC6749(Oauth 2.0) 문서를 토대로 요약하여 정리한 글이니, 자세한 내용은 해당 문서를 참고해주시기 바랍니다. What? Why? 인증(authentication) 이 아닌 인가(authorization)에 초점을 맞추며, 리소스 소유자가 클라이언트에게 자신의 리소스에 대한 제한적 접근 권한을 부여할 수 있도록 하는 프레임워크 역할 Resource Owner 보호된 리소스(Protected Resource)의 실제 소유자 혹은 주체 ex) 사용자의 계정, 사용자 데이터 Resource Server 보호된 리소스를 호스팅(저장 및 관리)하고 있는 서버 클라이언트가 제공하는 액세스 토큰을 검증하고, 유효한 토큰이면 리소스 접근을 허용 Client ...

🔔 스프링 시큐리티 개념 스프링 가이드를 참고하여 스프링 시큐리티의 기본을 공부해보았다. WebSecurityConfig @Configuration @EnableWebSecurity public class WebSecurityConfig { @Bean public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception { RequestCache nullRequestCache = new NullRequestCache(); http .requestCache((cache) -> cache .requestCache(nullRequestCache) ) .authorizeHttpRequests((requests) -> requests .requestMatchers("/", "/home").permitAll() .anyRequest().authenticated() ) .formLogin((form) -> form .loginPage("/login") .permitAll() ) .logout((logout) -> logout.permitAll()); return http.build(); } @Bean public UserDetailsService userDetailsService() { UserDetails user = User.withDefaultPasswordEncoder() .username("user") .password("password") .roles("USER") .build(); return new InMemoryUserDetailsManager(user); } } @EnableWebSecurity를 설정하여 시큐리티를 활성화시키고 securityFilterChain와 userDetailsService를 구현했다. ...

용어 자체가 거창해보이지만 하나씩 해석해보면 AES 대칭키 암호화 방식 중 하나이고 CBC는 블록 단위로 암호화를 하는 AES 방식의 운영모드 중 하나이다. PKCS7은 AES128 방식을 쓴다고 하면, 128비트보다 작은 블록이 나오면 뒤에 값을 붙여주는 ‘패딩‘의 한 방식이다. 크게 암호화 방식은 대칭키, 비대칭키 방식이 있다. 대칭키는 암호화/복호화에 쓰이는 키가 같아서 속도가 빠르지만 해당 키값이 노출되면 문제가 생기고 관리가 쉽지 않다. 위에서 말한 AES는 DES방식의 결함이 발견되어 채택된 방식으로 128/192/256비트의 고정 블록 단위로 암호화를 수행한다. 특히 블록 암호화 방식은 평문의 길이와 상관없이 고정된 길이가 나오게 된다. ...