질문 있습니다!
309
작성한 질문수 1
antMatcher("/admin/**")
.authorizeRequests()
.anyRequest().authenticated()
.and()
.httpBasic();
이라는 구문이 /admin 으로 들어온 모든 요청에 대해 인증된 사용자만 접근을 허용하고, 인증은 httpBasic() 방식 (request에 id, password를 받아 사용자 인증 처리)으로 수행한다 라고 해석해도 되나요??
그리고 최초 admin 접근 시에는 id, password 입력 요청창이 뜨는데, 인증 성공 이후 서버를 재시작하거나, 서버에게 발급받은 Jsession Id를 쿠키에서 지워보아도 별다른 인증 처리 없이 admin 화면으로 이동합니다.. 제 생각대로라면 재시작된 서버의 시큐리티 컨텍스트에는 인증 정보가 없을 뿐더러, 클라이언트에서 온 JsessionID 또한 Null이니 당연히 재 인증을 받아야 한다고 생각해는데요.. 왜 인증 절차 없이 넘어가는 건지 궁금합니다.
답변 2
8
1. /admin 으로 들어온 모든 요청에 대해 인증된 사용자만 접근을 허용하고, 인증은 httpBasic() 방식 (request에 id, password를 받아 사용자 인증 처리)으로 수행한다 라고 해석해도 되나요??
네 맞습니다.
2. 서버를 재시작하거나, 서버에게 발급받은 Jsession Id를 쿠키에서 지워보아도 별다른 인증 처리 없이 admin 화면으로 이동합니다
httpBasic 인증은 세션을 이용한 방식이 아닌 토큰을 이용하는 방식입니다
그래서 서버를 재기동하거나 JSESSIONID 값이 없어도 빨간테두리의 헤더값이 존재하는 한 인증이 이루어집니다.
그러나 base64 인코딩 방식으로 토큰이 생성되기 때문에 보안에 매우 취약합니다.
반드시 ssl 로 통신이 이루어져야 합니다.
시큐리티 공부 버전 질문
0
175
1
[해결 방법] MethodSecurityConfig.customMethodSecurityMetadataSource() 호출하지 않는 이슈
0
185
1
AbstractSecurityInterceptor.class.beforeInvocation()를 2번 실행하는 경우
0
174
1
강의 코드가 왜이렇게 뒤죽박죽인가요...
0
249
1
메인 페이지로 접속해도 login url로 리다이렉트가 되지 않습니다..
0
235
1
파라미터값이 넘어가지 않습니다 ....
0
374
1
security filterChain 설정 질문이 있습니다.
0
331
1
소스 부분 질문 드립니다.
0
208
2
섹션4 7번 강의 문제가 있는거 같네요.
0
344
2
파일이 수시로 이름이 바껴있네요 ㄷㄷ
0
304
1
HttpSessionSecurityContextRepository를 사용안하는 문제
0
555
2
error , exception 이 잘 안됩니다.
0
278
2
thymeleaf tag 질문합니다.
0
196
2
버전업하면서 deprecated된 것들이 너무많아요
0
478
1
spring security 패치 관련
0
437
1
모바일을 사용할때 토큰말고 세션
0
845
2
DB 연동한 인가 부분에 대한 질문입니다!
0
264
1
Ajax방식도 똑같이 Session방식을 사용하는건가요?
0
307
1
Config 파일 생성 시 질문이 있습니다.
0
225
1
강사님 몇일동안 구글 검색만 100개 했는데도 이유를 모르겠습니다..
1
429
2
403 에러 뜹니다.
0
813
2
login_proc의 존재에 대한 간략한 설명입니다
0
275
1
top.html에 로그인 링크를 만들어서 로그인을 해봤습니다
0
278
2
안녕하세요. DB에 저장될 때 이해 안 가는 값이 있어서 질문드립니다!
0
189
1