작성
·
679
0
안녕하세요 강사님. 스프링 시큐리티를 통해
비회원 웹페이지 보안을 구축하기위해 강의를 신청하였습니다.
너무 막연한 질문일 수 있으나 해당 웹페이지는 비회원만 접속하는 페이지로 링크에 대한 만료기간만 관리를 하려고 하는데
(페이지접속시 특정키를 통해 비회원별 페이지가 랜딩됩니다.)
이때 보안적으로 고려하면 좋을 부분이 있을까요?
보통 예제들은 로그인 보안을 처리해서
어떤식으로 구현할지 감이 안잡힙니다.. 감사합니다.
답변 2
0
안녕하세요. 우선 답변감사합니다.
강사님의 AnonymousAuthenticationFilter 관련 강의도 들어봤는데
익명사용자로 익명사용자토큰을 받아서 로그인페이지없이 웹사이트를 이용하는 부분을 추가하고 싶은데
securityConfig 파일에 설정하는 부분이나 활용방식이
구글링을 해봐도 좀처럼 나오질 않아서 다시 질문드립니다.
참조할만한 사이트가 혹시 있을까요?
0
스프링 시큐리티에서 비회원은 Anonymous 사용자로 구분이 됩니다.
그래고 AnonymousAuthenticationFilter 가 있어서 AnonymousAuthenticationToken 을 생성해서 익명사용자를 별도로 관리하고 있습니다.
이 토큰은 익명사용자에게만 부여하는 권한인 ROLD_ANONYMOUS 을 저장하고 있는데 이 권한을 임의의 리소스에 적용하면 인증된 사용자일지라도 ROLE_ANONYMOUS 권한이 없을 경우 접근이 제한되도록 할 수 있습니다.
만료기간은 보통 쿠키를 생성해서 처리하는데 비회원인 경우에는 사용자마다 쿠키를 특정하기가 어려운 점이 있을 듯 합니다.
일단 AnonymousAuthenticationFilter 와 AnonymousAuthenticationToken 등을 이용해서 비회원관련 처리 시 활용할 수 있으니 참고해 보시기 바랍니다.