Security on YuuuuuuYu

OAuth2 Deepdive

Sat, 18 Jan 2025 11:48:00 +0900

🔔 Oauth2 적용 전
🔔 Oauth2 실습

개요

최근 개인 프로젝트에서 네이버 로그인을 위해 필요한 부분을 설정하고 로직을 구현했다. 개발 가이드에 맞게 각 단계별로 진행을 했으나…

아무리 봐도 과정 하나 하나를 내 손으로 직접 구현하는게 맞는건가? 라는 의문을 시작으로 좀 더 효율적으로 구현하는 방법을 찾아봤고, 그렇게 Oauth 2.0으로 로그인하는 방식을 찾게 되었다.

Oauth2 적용 전

코드 스타일을 떠나서 지금 와서 보니 마치 Oauth 1.0처럼 구현을 하고 있었다. 나 또한, 각 플로우마다 하드 코딩은 줄이고 변수나 함수를 재활용하기 위해, 보안 요소를 생각하면서 구현했었다.

OAuth2

Fri, 17 Jan 2025 17:23:00 +0900

🔔 Oauth2? 그럼 Oauth1도?
🔔 Oauth2 동작 과정

RFC6749(Oauth 2.0) 문서를 토대로 요약하여 정리한 글이니, 자세한 내용은 해당 문서를 참고해주시기 바랍니다.

What? Why?

인증(authentication) 이 아닌 인가(authorization)에 초점을 맞추며, 리소스 소유자가 클라이언트에게 자신의 리소스에 대한 제한적 접근 권한을 부여할 수 있도록 하는 프레임워크

역할

Resource Owner
- 보호된 리소스(Protected Resource)의 실제 소유자 혹은 주체
- ex) 사용자의 계정, 사용자 데이터
Resource Server
- 보호된 리소스를 호스팅(저장 및 관리)하고 있는 서버
- 클라이언트가 제공하는 액세스 토큰을 검증하고, 유효한 토큰이면 리소스 접근을 허용
Client

스프링 시큐리티 기본

Fri, 20 Dec 2024 17:50:00 +0900

🔔 스프링 시큐리티 개념

스프링 가이드를 참고하여 스프링 시큐리티의 기본을 공부해보았다.

WebSecurityConfig

@Configuration
@EnableWebSecurity
public class WebSecurityConfig {

 @Bean
 public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
 RequestCache nullRequestCache = new NullRequestCache();
 http
 .requestCache((cache) -> cache
 .requestCache(nullRequestCache)
 )
 .authorizeHttpRequests((requests) -> requests
 .requestMatchers("/", "/home").permitAll()
 .anyRequest().authenticated()
 )
 .formLogin((form) -> form
 .loginPage("/login")
 .permitAll()
 )
 .logout((logout) -> logout.permitAll());

 return http.build();
 }

 @Bean
 public UserDetailsService userDetailsService() {
 UserDetails user =
 User.withDefaultPasswordEncoder()
 .username("user")
 .password("password")
 .roles("USER")
 .build();

 return new InMemoryUserDetailsManager(user);
 }
}

@EnableWebSecurity를 설정하여 시큐리티를 활성화시키고 securityFilterChain와 userDetailsService를 구현했다.

AES/CBC/PKCS7

Tue, 12 Jul 2022 14:23:00 +0900

용어 자체가 거창해보이지만 하나씩 해석해보면

AES 대칭키 암호화 방식 중 하나이고
CBC는 블록 단위로 암호화를 하는 AES 방식의 운영모드 중 하나이다.
PKCS7은 AES128 방식을 쓴다고 하면, 128비트보다 작은 블록이 나오면 뒤에 값을 붙여주는 ‘패딩‘의 한 방식이다.

크게 암호화 방식은 대칭키, 비대칭키 방식이 있다.
대칭키는 암호화/복호화에 쓰이는 키가 같아서 속도가 빠르지만 해당 키값이 노출되면 문제가 생기고 관리가 쉽지 않다.

위에서 말한 AES는 DES방식의 결함이 발견되어 채택된 방식으로 128/192/256비트의 고정 블록 단위로 암호화를 수행한다.
특히 블록 암호화 방식은 평문의 길이와 상관없이 고정된 길이가 나오게 된다.