수강이 제한됩니다.
다른 수강생들이 자주 물어보는 질문이 궁금하신가요?
- 미해결스프링 시큐리티
vue같은 프런트 엔드 프레임워크를 사용할 때는 CSRF 토큰을 어떻게 설정하나요?
코드를 보면 타임리프가 만들어준 CSRF를 meta 태그로 전달하는데 이를 서버쪽에서 만들어주는 html 파일을 통해 브라우저에 전달하는데요.Vue 같은 프런트 엔드 프레임워크를 사용하면 Web Server를 별도로 띄워서 정적파일을 관리하는데 이런 상황에선 타임리프가 정적파일에 CSRF 토큰을 심어줄 수 없는 구조라고 생각이 됩니다.이런 경우에는 CSRF 공격을 어떻게 막을 수 있나요?제가 생각나는 건 이 두 가지네요.. Web Server에서 요청 프록시를 해주고(Reverse 프록시) Web Server에서 CSRF 토큰을 관리한다.CSRF 토큰이 필요한 곳은 정적파일을 WAS에서 관리한다.좋은 방법이 있을까요?
- 미해결스프링 시큐리티
Account 객체 형변환 오류 문의드립니다
실전프로젝트 강의 듣고 있습니다.접근권한 관련해서 오류가 있어서 문의 드립니다.authentication.getPrincipal() 을 Account 로 형변환시 오류가 발생하네요.값들을 찍었을 때 아래와 같이 나옵니다. 1. accountContext.getAccount() : Account(Id=1, username=user, password={bcrypt}$2a$10$Uh4Z9AZmSNzdke9QgvawxODb0pK2vwV2xzrMS9EgXGzICO54WoIU2, email=abc@gmail.com, age=99, role=ROLE_USER)2. authentication.getPrincipal() : io.security.corespringsecurity.security.service.AccountContext [Username=user, Password=[PROTECTED], Enabled=true, AccountNonExpired=true, credentialsNonExpired=true, AccountNonLocked=true, Granted Authorities=[ROLE_USER]] getPrincipal() 에 관련없는 텍스트가 나와서 그런지 잘모르겠군요. => 'io.security.corespringsecurity.security.service.AccountContext'어떤 이유에서 오류가 발생하는지 답변 부탁드려요~ @GetMapping(value={"/denied", "/api/denied"})public String accessDenied(@RequestParam(value = "exception", required = false) String exception, Model model){Authentication authentication = SecurityContextHolder.getContext().getAuthentication();// 형 변환이 안되네요.Account account = (Account) authentication.getPrincipal();model.addAttribute("username", account.getUsername());model.addAttribute("exception", exception);return "user/login/denied";}
- 미해결스프링 시큐리티
ExceptionTranslationFilter가 하는 역할에 대해서 질문합니다.
이번 강의 초반에구분 사항인증 예외가 발생하면 해당 필터, 지금 같은 경우는 UsernamePasswordAuthenticationFilter가 받아서 처리를 하고인가 예외는 ExceptionTranslationFilter가 처리 한다.라고 설명해주셨는데요.앞서 개념 강의 예외 처리 및 요청 캐시 필터 : ExceptionTranslationFilter, RequestCacheAwareFilter9) 인가 개념 및 필터 이해 : Authorization, FilterSecurityInterceptor에서는 인증 예외와 인가 예외 모두 ExceptionTranslationFilter가 받는다고 설명해주셔서 혼란이 옵니다. 어떤 것이 맞는 설명인가요? Access Denied 는 인가 예외인데 강의 제목이 인증 거부 처리 - Access Denied 입니다. 인가 거부 처리 - Access Denied로 바꾸는 게 맞지 않나요? 그렇게 중요한 문제는 아닌 듯 합니다만, 제가 제대로 알고 있나 확인하는 차원에서 질문드립니다. 이렇게 2개 질문 드리고요. 좋은 강의 감사드립니다. 덕분에 도움이 많이 되고 있습니다. 답변 부탁드립니다.
- 미해결스프링 시큐리티
스프링부트 버전 문의 드립니다.
현재 스프링부트 2.7.10 사용하고 있는데 강의 소스와 많이 틀려서 고생하고 있네요 ㅜ버전을 다운그레이드 해서 공부할려고 하는데 그게 좋을까요? 실무에서 아직 2.7.10 이하 버전을 많이 사용한다면 버전을 낮추고 싶네요..강사님 의견은 어떠신가요?
- 미해결스프링 시큐리티
루트에서 로그인 성공후 에러 메시지가 보입니다.
7) 로그아웃 및 인증에 따른 화면 보안 처리 강의 입니다. http://localhost:8080URL 이 위와 같은 상태에서 로그인 페이지로 이동해서 로그인을 하면 아래와 같은 메시지가 나타납니다.http://localhost:8080/mypage 경로 상태에서 로그인 페이지로 이동해서 로그인하면 정상적으로 오류 메시지 없이 잘 되는데 서브 경로가 없는 상태에서 로그인을 하니까 문제가 있어요세션에는 등록이 되고 로그인처리는 되었는데 마지막화면에서 오류메시지만 떠요.답변 부탁드릴게요 로그인 이후 URL : http://localhost:8080/error{"timestamp":"2023-03-10T01:58:06.693+00:00","status":999,"error":"None","message":"No message available"}
- 미해결스프링 시큐리티
SecurityConfig.java 에서 AuthenticationManager 부분에 대한 질문입니다.
실전 프로젝트 보고 있습니다.DB 연동 인증 처리(2) : CustomAuthenticationProvider 학습 중인데요.스프링 버전이 2.7x 이라서 SecurityConfig.java 설정이 맞지를 않네요. 검색하니깐 아래 코드 처럼 설정하면 된다고 하던데 근데 아래 코드, authenticationManager 메서드 부분이 없어도 CustomAuthenticationProvider 클래스에 @Component 어노테이션 넣으니깐 사용되더라구요... 로그인도 잘되구요.CustomUserDetailsService 클래스도 마찬가지인데, 아래 authenticationManager 메서드가 없어도 되는건지 궁금합니다.혹시 나중에 문제가 생기지 않을까 불안하기도 하네요.답변 부탁드리겠습니다.~ @Beanpublic AuthenticationManager authenticationManager(AuthenticationConfiguration authenticationConfiguration) throws Exception {ProviderManager authenticationManager = (ProviderManager) authenticationConfiguration.getAuthenticationManager();authenticationManager.getProviders().add(customAuthenticationProvider());return authenticationManager;}
- 미해결스프링 시큐리티
csrf 토큰 질문드립니다
13강에서 한가지 여쭤볼게있어서 문의드립니다. csrf토큰값이 임의의 UUID형태의 문자열인데강의에서 헤더에 직접 추가하여 서버에 재요청하여통과하는것을 보여주셨는데요 재요청할때에는 이전 요청에서 디버깅으로 확인한 토큰을 이용하여재요청을 하였는데요.따라서, 토큰의 값이 안바뀌엇다고 생각이드는데왜 안바뀐거죠? 이부분에 대해서 문의드립니다!
- 미해결스프링 시큐리티
쿠키의 단점을 보완한 세션
쿠키 값을 변조 가능, → 예상 불가능한 복잡한 세션Id를 사용한다.-> 그런데 세션도 변조가능한거아닌가요? 그냥 더 예상이 불가능하다는건가요? 쿠키값도 랜덤값을 사용한다고 알고있어서요... 쿠키에 보관하는 정보는 클라이언트 해킹시 털릴 가능성이 있다. → 세션Id가 털려도 여기에는 중요한 정보가 없다.-> 쿠키에 보관하는 정보는 보통 그럼 중요한 정보를 보관하는건가요..? 왜 중요한 정보를 보관하는거죠 털릴수도있는데..
- 미해결스프링 시큐리티
쿠키가 세션보다 보안에 취약한 이유가 뭔가요?
쿠키가 세션보다 보안에 취약한 이유가 잘 이해가 가지 않습니다1. 쿠키가 세션보다 더 털릴 가능성이 높아서인가요?근데 세션도 결국 쿠키의 형태로 로컬에 저장되잖아요!2. 그리고 chatgpt에게 물어보니 쿠키는 클라가 변경할 수 있는데 세션은 변경을 못한다고 합니다. 세션이더라도 다른사람의 세션id값을 탈취할 수만있다면 헤더값만 변경하면 클라가 변경할 수 있게 되는거잖아요.그래서 챗지피티가 한말이 이해가 잘안가네요.
- 미해결스프링 시큐리티
결과값이 다르게 나와요
디버그 돌릴때 AjaxAuthentication.authenticate() 메소드를 찍어놔서 AjaxAuthentication를 거쳐서 동작하는거 확인했습니다db에 {username:user,password:1111}가 없는 상태에서 진행하면 loadByUsername()에서 account=null이라 UsernameNotFoundException이 발생하는데 강사님 영상에서는 해당 exception없이 진행되는걸로보아 db에 해당 유저가 미리 저장되어있다고 짐작, 프로젝트 실행 후 회원가입으로 해당 유저를 만든후 ajax.http를 실행했습니다. 그리고 이 밑이 그 결과입니다. response code 200으로 http://localhost:8080/의 response body 부분이 출력됩니다. 그런데 강사님 영상에서는 UsernameNoFoundExcpeion이 발생하지도 않고 잘 동작했으면서 저와 다르게 response body도 없고 302가 나옵니다.제가 코드 입력을 잘못한건가요?http://localhost:8080/api/login Redirections: -> http://localhost:8080/ HTTP/1.1 200 X-Content-Type-Options: nosniff X-XSS-Protection: 1; mode=block Cache-Control: no-cache, no-store, max-age=0, must-revalidate Pragma: no-cache Expires: 0 X-Frame-Options: DENY Content-Type: text/html;charset=UTF-8 Content-Language: ko-KR Transfer-Encoding: chunked Date: Mon, 06 Mar 2023 10:00:46 GMT <!DOCTYPE html> <html lang="ko"> <head> <meta http-equiv="Content-Type" content="text/html; charset=UTF-8"/> <title>Home</title> <script src="/js/jquery-2.1.3.min.js"></script> <link rel="stylesheet" href="/css/base.css"/> <link rel="stylesheet" href="https://stackpath.bootstrapcdn.com/bootstrap/4.4.1/css/bootstrap.min.css"/> </head> <body> <div> <nav class="navbar navbar-dark sticky-top bg-dark "> <div class="container"> <a class="text-light" href="#"><h4>Core Spring Security</h4></a> <ul class="nav justify-content-end"> <li class="nav-item"><a class="nav-link text-light" href="/logout">로그아웃</a></li> <li class="nav-item"><a class="nav-link text-light" href="/">HOME</a></li> </ul> </div> </nav> </div> <div class="container"> <div class="row align-items-start"> <nav class="col-md-2 d-none d-md-block bg-light sidebar"> <div class="sidebar-sticky"> <ul class="nav flex-column"> <li class="nav-item"> <div style="padding-top:10px;" class="nav flex-column nav-pills" aria-orientation="vertical"> <a href="/" style="margin:5px;" class="nav-link active">대시보드</a> <a href="/mypage" style="margin:5px;" class="nav-link text-primary">마이페이지</a> <a href="/messages" style="margin:5px;" class="nav-link text-primary">메시지</a> <a href="/config" style="margin:5px;" class="nav-link text-primary">환경설정</a> </div> </li> </ul> </div> </nav> <div style="padding-top:50px;" class="col"> <div class="container text-center"> <h1 class="text-primary">DASHBOARD</h1> <div class="security"></div> <h1>Core Spring Security 에 오신 것을 환영합니다.</h1> </div> </div> </div> </div> <div> <footer class="page-footer font-small blue"> <div class="footer-copyright text-center py-3 border-top"> <p class="text-primary">Copyright 2020 Core Spring Security. All Right Reserved</p> </div> </footer> </div> </body> </html> Response file saved. > 2023-03-06T190046.200.html Response code: 200; Time: 152ms; Content length: 2368 bytes
- 미해결스프링 시큐리티
denied 컨트롤러에서만 인증객체 조회가 안되는 에러
https://www.inflearn.com/questions/800939/%EA%B8%B0%EB%B3%B8-daoauthenticationprovider%EC%82%AC%EC%9A%A9%EC%8B%9C-%EC%9D%B8%EC%A6%9D%EA%B0%9D%EC%B2%B4-%EC%A1%B0%ED%9A%8C-%EC%97%90%EB%9F%AC해당 질문 했던 수강생입니다.혹시 답글 확인 가능하실까요.?
- 미해결스프링 시큐리티
loginProcessingUrl 절대경로 상대경로 차이점
3) Form Login 인증 강의처럼 코드 작성하였는데 로그인이 안되고 계속 /login 페이지로 이동해서 코드를 자세히 보니 경로 설정이 잘못되었더군요..loginProcessingUrl("/login_proc") 위 코드로 정상적으로 로그인이 되는데 경로를 슬래쉬를 붙이지 않고 'login_proc' 으로만 넣어주니까 로그인 먹통이었습니다.혹시 어떤 이유에서 그런지 문의드려도 될까요?아래처럼 태그를 보면 어차피 루트에서 이동하는건데 슬래쉬가 있고 없고의 차이점이 궁금하네요.감사합니다.<form class="form-signin" method="post" action="login_proc">
- 미해결스프링 시큐리티
기본 DaoAuthenticationProvider사용시 인증객체 조회 에러
프로젝트를 다시 만들어 실습을 진행중에 있습니다.이번 프로젝트에서는 CustomAuthenticationProvider를 생성하지 않고 기본으로 사용되는 DaoAuthenticationProvider를 사용할려고 CustomAuthenticationProvider를 등록하지 않았습니다.그런데@GetMapping("/denied") public String accessDenied(@RequestParam(value = "exception", required = false) String exception, Model model) { Authentication authentication = SecurityContextHolder.getContext().getAuthentication(); Account account = (Account)authentication.getPrincipal(); model.addAttribute("username", account.getUsername()); model.addAttribute("exception", exception); return "user/login/denied"; }이 컨트롤러에서 인증 객체 조회가 되지 않아 에러가 발생했습니다.기존 프로젝트의 CustomAuthenticationProvider에서의 인증 로직이 끝나고 UsernamePasswordAuthenticationToken타입으로 인증객체가 return되고 이것이 SecurityContext에 저장되는 흐름과현재 진행중 프로젝트의 DaoAuthenticationProvider에서 인증 로직이 끝나고UsernamePasswordAuthenticationToken타입으로 인증객체가 return되고 이것이 SecurityContext에 저장되는 흐름이 완전히 동일하다고 생각되어서기존 프로젝트와 똑같이 컨트롤러에서 인증객체가 조회될 것이라고 생각했는데 그렇지 않습니다.혹시 인증 흐름상에서 제가 놓치고 있는 부분이 있는건가요?
- 해결됨스프링 시큐리티
provider등록시에 우선권이 궁금합니다.
- 학습 관련 질문을 남겨주세요. 상세히 작성하면 더 좋아요! - 먼저 유사한 질문이 있었는지 검색해보세요. - 서로 예의를 지키며 존중하는 문화를 만들어가요. - 잠깐! 인프런 서비스 운영 관련 문의는 1:1 문의하기를 이용해주세요.좋은 강의 감사합니다. 공부중에 궁금한게 있어서 글을 적습니다. CustomAuthenticationProvider는 현재 support로 UsernamePasswordToken인지 확인하고 있는데 DaoProvider의 경우에도 같은UsernamePasswordToken으로 검증하고 있던데 이런 경우 제가 등록한 provider가 더 우선권을 갖게 되어서 provider list를 순회 할때 custom provider가 더 먼저 지나가게 됨으로 daoprovider는 거치지 않는 것이 맞는건가요?또한 제가 등록한 custom provider는 parent로 daoprovider를 갖게 되는지도 궁금합니다.
- 해결됨스프링 시큐리티
csrf 토큰 시큐리티 6버전 변경사항
안녕하세요 강의 잘 보고있습니다. csrf 토큰 값을 헤더에 넣어서 실습하는 부분 따라해봤는데 잘 안되서 코드를 뜯어봤습니다.이번에 시큐리티 버전이 6으로 올라가면서 csrf 토큰을 인코딩해서 전달하고 이걸 디코딩하는 부분이 영상과 다른것같았습니다. 그래서 기본으로 제공하는 로그인 페이지에서 디버깅을 해보았는데 클라이언트에 전달한 csrf 토큰값이랑 실제 서버가 가지는 csrf 토큰값이 서로 달랐습니다. 이렇게되면 영상에서 보여주신 실습은 제대로 동작하지 않는게 맞나요?해당 사진은 CsrfFilter에서 actualToken을 받아오기 위한XorCsrfTokenRequestAttributeHandler 클래스 내부에 존재하는 resolveCsrfTokenValue 함수의 소스코드입니다.예제 따라하면 항상 마지막에 사이즈 비교하는 부분에서 걸렸습니다.
- 미해결스프링 시큐리티
강의 자료랑 소스 코드를 받을 수 있나요?
강의 자료는 밑에 어떤분이 올리시긴 했는데.. 답변을 "강좌소개 > 프로젝트 생성 및 의존성추가 챕터" 라고 하셨는데.. 아무리 찾아봐도 어디서 찾아야 하는지 모르겠네요.다시 자세히 좀 알려주세요.그리고 소스 코드를 받을 수 있는지요? 강의 보면서 치려고 하니까 시간 무지 걸리네요.컴파일도 잘 안되고..
- 미해결스프링 시큐리티
순환 참조 오류 문의드립니다.
안녕하세요 강의 내용을 따라 코딩을 했는데 순환 참조 문제가 생겨 문의 드립니다.securityConfig와 AppConfig 설정에서SecurityResourceService를 생성하면서 생긴 문제인데요.깃허브에 강의 자료를 확인해보니 영상에서 설정한 로직과 securityConfig 로직이 많이 다르더라구요.임시로 application.properties에 spring.main.allow-circular-references=true 설정 하여 구동은 되지만 해결방법을 찾지 못하여 강사님께 도움을 요청 드립니다..
- 미해결스프링 시큐리티
savedRequest 관련 질문
안녕하세요 강사님.savedRequest 관련해서 여쭤보고 싶습니다.requestCache.getRequest(request, response)여기서 /resource/img... 이런 형태의 전혀 이상한 url을 가져옵니다.
- 미해결스프링 시큐리티
username뿐만 아니라 password까지 검증되는 이유
현재 강의까지의 인증 로직을 보면@Service @RequiredArgsConstructor public class CustomUserDetailsService implements UserDetailsService { private final UserRepository userRepository; @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { Account account = userRepository.findByUsername(username); if (account == null) { throw new UsernameNotFoundException("UsernameNotFoundException"); } List<GrantedAuthority> roles = new ArrayList<>(); roles.add(new SimpleGrantedAuthority(account.getRole())); AccountContext accountContext = new AccountContext(account, roles); return accountContext; } }useranme으로만 Account객체를 조회해서 이것이 null인지 아닌지로 사용자를 인증하는 로직으로 이해했습니다.하지만 로그인 페이지에서 DB에 존재하는 username을 알맞게 입력하고 password는 틀리게 입력하면 인증단계에서 걸러지는걸 확인했습니다. 그렇다면 password까지 검증을 한다는 것인데..분명 인증로직으로만 봤을땐 username으로만 인증을 하는것 같았는데 password까지 검증될 수 있었던 이유가 무엇인가요.?
- 미해결스프링 시큐리티
GrantedAuthority의 역할 + 추가 질문
GrantedAuthority를 AccountContext 생성자 매개변수로 넘기게 되는데 이 클래스의 역할이 정확이 무엇인가요? 그냥 권한정보를 넘기기 위한 규격(?) 같은거라고 생각해도 될까요?+SecurityFilterChain으로 실습 진행중입니다.궁금한점은 영상에서는 CustomUserDetailsService를 명시적으로 등록해주던데최신버전에선 이렇게만 구현하면@Bean AuthenticationManager authenticationManager(AuthenticationConfiguration authConfiguration) throws Exception { return authConfiguration.getAuthenticationManager(); }어떤 방식으로 CustomUserDetailsService가 자동으로 등록되는 건가요?스프링시큐리티가 UserDetailsService를 구현한 클래스를 자동으로 찾아서 등록해주는 걸까요?