질문드립니다
133
작성한 질문수 1
DB와 리소스 권한 관리 구현에서
모든 ajax로 들어오는 요청도 걸리게 되는데
ajax요청 url도 모두 DB에 저장해서 관리해야 되는게 맞는 건가요?
ignore를 해버리게 되면 사용자 데이터가 노출될 위험이 있는거 같습니다!
답변 부탁드립니다~
좋은 강의 찍어주셔서 감사합니다~!!
답변 1
0
네
http 통신이면 ajax 방식의 요청여부와 상관없이 동일하게 DB 에 자원과 권한정보를 매핑해서 관리해야 합니다.
ajax 요청은 인증 및 인가처리 이후의 응답형태를 어떻게 설정할 것인지가 중요한 것이지 인증과 인가처리에 있어서는
http 통신을 통한 URL 방식의 DB 제어권한을 따라야 합니다.
http 통신에 있어서 URL 자원과 그 자원을 보호하기 위한 권한을 설정하는 문제는 메모리든 DB 든 상관없이
권한 정책에 따라 관리되고 운영되어야 합니다.
다만 정적파일을 포함하여 어떤 자원들을 스프링 시큐리티의 권한 제어로부터 skip 할 것인지 정하면 될 것 같습니다.
그럴 경우 DB 로 관리하지 않는 모든 자원들은 권한심사를 통과하여 접근이 가능해 질 것입니다.
사용자 데이터가 노출이 되어서는 안되는 자원들은 당연히 DB 로 권한 및 자원관리가 되어야 할 것 같습니다.
시큐리티 공부 버전 질문
0
175
1
[해결 방법] MethodSecurityConfig.customMethodSecurityMetadataSource() 호출하지 않는 이슈
0
186
1
AbstractSecurityInterceptor.class.beforeInvocation()를 2번 실행하는 경우
0
174
1
강의 코드가 왜이렇게 뒤죽박죽인가요...
0
249
1
메인 페이지로 접속해도 login url로 리다이렉트가 되지 않습니다..
0
236
1
파라미터값이 넘어가지 않습니다 ....
0
374
1
security filterChain 설정 질문이 있습니다.
0
331
1
소스 부분 질문 드립니다.
0
208
2
섹션4 7번 강의 문제가 있는거 같네요.
0
344
2
파일이 수시로 이름이 바껴있네요 ㄷㄷ
0
304
1
HttpSessionSecurityContextRepository를 사용안하는 문제
0
555
2
error , exception 이 잘 안됩니다.
0
280
2
thymeleaf tag 질문합니다.
0
196
2
버전업하면서 deprecated된 것들이 너무많아요
0
478
1
spring security 패치 관련
0
437
1
모바일을 사용할때 토큰말고 세션
0
845
2
DB 연동한 인가 부분에 대한 질문입니다!
0
264
1
Ajax방식도 똑같이 Session방식을 사용하는건가요?
0
307
1
Config 파일 생성 시 질문이 있습니다.
0
225
1
강사님 몇일동안 구글 검색만 100개 했는데도 이유를 모르겠습니다..
1
429
2
403 에러 뜹니다.
0
813
2
login_proc의 존재에 대한 간략한 설명입니다
0
276
1
top.html에 로그인 링크를 만들어서 로그인을 해봤습니다
0
282
2
안녕하세요. DB에 저장될 때 이해 안 가는 값이 있어서 질문드립니다!
0
189
1