무료
다른 수강생들이 자주 물어보는 질문이 궁금하신가요?
- 미해결스프링부트 시큐리티 & JWT 강의
안녕하세요 질문이 있습니다.
안녕하세요. 좋은 강의 만들어주셔서 감사합니다.강의 마지막 내용 중, A가 B에게 보낼 내용을 B의 공개키로 잠근 후 그 후에 A의 비밀키로 잠그면 B는 A의 공개키로 연 후에, B의 비밀키로 해당 문서를 복호화 하는 것까지는 이해했습니다. 여기서 궁금한 게 하나 생기는데, A의 공개키는 누구나 다운받을 수 있으니 해커도 다운받을 수 있으므로 A의 공개키로 해커가 복호화한 후 데이터를 날려버리고 새로운 데이터를 B에게 보낼 수 도 있는게 아닌가요?? 살짝 전의 내용에서 해커가 데이터를 가로채 데이터를 날려 새로운 데이터를 보낼 수 있다다는 것을 보고 궁금증이 생겼습니다.
- 미해결스프링부트 시큐리티 & JWT 강의
1강 시작하는데 index.html이 열리지 않습니다.
- 학습 관련 질문을 남겨주세요. 상세히 작성하면 더 좋아요! - 먼저 유사한 질문이 있었는지 검색해보세요. - 서로 예의를 지키며 존중하는 문화를 만들어가요. - 잠깐! 인프런 서비스 운영 관련 문의는 1:1 문의하기를 이용해주세요.강의대로 똑같이 진행한뒤,(인텔리제이에서 오류는 전혀없어요!, 물론 1강에서의 .yml파일을 .properties로 잘 변환한 후 복사하였습니다!)로그인을 하려고하면 index.html페이지로 이동이 안됩니다 ㅠㅠ 어떻게 해야하나요?
- 미해결스프링부트 시큐리티 & JWT 강의
강사님 하나 이해가 되지 않는 부분이 있어 질문드립니다!
JwtAuthorizationFilter객체에서 권한처리를 하신다고 하셨는데@Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws IOException, ServletException { String jwtHeader = request.getHeader(JwtProperties.HEADER_STRING); if (jwtHeader==null || !jwtHeader.startsWith(JwtProperties.TOKEN_PREFIX)){ chain.doFilter(request,response); return; } String jwtToken = request.getHeader(JwtProperties.HEADER_STRING).replace(JwtProperties.TOKEN_PREFIX,""); String username = JWT.require(Algorithm.HMAC512(JwtProperties.SECRET)).build().verify(jwtToken) .getClaim("username").asString(); if (username!=null){ Optional<Customer> optionalCustomer = customerRepository.findByUsername(username); if (optionalCustomer.isPresent()){ Customer customerEntity = optionalCustomer.get(); PrincipalDetails principalDetails = new PrincipalDetails(customerEntity); Authentication authentication = new UsernamePasswordAuthenticationToken(principalDetails,null,principalDetails.getAuthorities()); System.out.println("*******************"+principalDetails.getAuthorities().); SecurityContextHolder.getContext().setAuthentication(authentication); chain.doFilter(request,response); } } }이 코드에서 인증이나 권한이 필요한 주소요청이 있을 경우 해당 필터를 타고 JWT 토큰을 검증해서 정상적인 사용자인지 확인하고 강제로 Security 세션에 접근하여 Authentication 객체를 저장한다고 이해를 하였습니다.doFilterInternal() 함수의 어디부분에서 권한을 확인을하고 SpringSecurity클래스에서 .antMatchers("/customer/**")부분의 권한을 막아주나요??
- 미해결스프링부트 시큐리티 & JWT 강의
안녕하세요 강사님! 질문있습니다.!
강의 에서는 User 객체에 String roles를 만들고PrincipalDetailse 객체의 getAuthorities함수에서 밑에 처럼 진행하였는데요 public PrincipalDetails(Customer customer) { this.customer = customer; } @Override public Collection<? extends GrantedAuthority> getAuthorities() { Collection<GrantedAuthority> authorities = new ArrayList<>(); customer.getRoleList().forEach(r -> { authorities.add(() -> r); }); return authorities; }User객체의 Role role 필드를 추가하여public enum Role { ROLE_CUSTOMER,ROLE_ADMIN,ROLE_SELLER } PrincipalDetailse 객체의 getAuthorities함수 적는방법이 도무지 생각나지 않아 질문드립니다 ㅠ 어떻게 해야할까요.. 도움 구하고싶습니다,
- 미해결스프링부트 시큐리티 & JWT 강의
@PreAuthorize @Secured 차이
안녕하세요 좋은 강의 해주셔서 감사합니다! 다름이 아니라 강의에 질문이 있어 문의드립니다.혹시 @PreAuthorize @Secured 차이는 표현식의 차이밖에 없는건가요??
- 미해결스프링부트 시큐리티 & JWT 강의
필터 동작 순서에 따라 login결과가 달라지는 이유
안녕하세요. 선생님 좋은 강의 제공해주셔서 감사합니다.선생님 덕분에 거의 마지막 강의까지 진행하고 있습니다. 그러다가 25강에서 '/login'요청에서 response헤더에 토큰이 포함되었음에도 불구하고 자꾸 404에러가 뜨는 것을 확인하였습니다. 확인 결과 SecurityConfig에서 아래의 코드를 넣느냐 빼느냐에 따라서 결과가 달라지는데요. 여기서 2가지 이해가 가지 않는 점이 생겼습니다.필터 동작 순서를 바꾼다고 해도 결국 그 뒤에 FiterChain이 동작하기 때문에 MyFilter3에서 정상적으로 처리하고 FilterChain으로 넘어갔다면 '/login' 요청도 제대로 처리되어야 하는거 아닌가요?@Bean SecurityFilterChain filterChain(HttpSecurity http) throws Exception { // http.addFilterBefore(new MyFilter3(), SecurityContextPersistenceFilter.class);선생님께서 포스트맨으로 로그인 시도하신 것을 보면 password가 일치하지 않을 경우 401 에러가 뜨던데 저 같은 경우에는 password가 일치하든 불일치 하든 상관없이 http body에는 공백이 뜨고 헤더에 토큰이 반환되느냐 마느냐의 차이만 있고 콘솔에 아래처럼 인증에 실패했다는 로그만 뜨는데 왜 저는 결과가 다르게 뜰까요?
- 미해결스프링부트 시큐리티 & JWT 강의
JwtProperties의 내용을 application.properteis로 옮기고 싶습니다.
강사님 안녕하세요.JwtProperties에 있는 내용을 application.properteis로 옮기고 @Value 어노테이션으로 받아와서 사용하고싶습니다.@Value를 사용하기 위해 JwtAuthenticationFilter에 @Component를 붙여주었으나, authenticationManager의 빈 등록을 먼저 하라고 하더군요. @Bean public AuthenticationManager authenticationManager(AuthenticationConfiguration authenticationConfiguration) throws Exception { return authenticationConfiguration.getAuthenticationManager(); }그래서 이러한 코드를 SecurityConfig에 추가했습니다. 하지만 계속 AuthenticationManager를 빈으로 등록시키라는 에러메세지만 뜨네요. 이거 어떻게 해야하죠?...바쁘신 와중에 답변 달아주시면 감사하겠습니다.
- 미해결스프링부트 시큐리티 & JWT 강의
enum 타입의 getAuthorities
강사님 안녕하세요. 강사님 강의를 듣고 jwt를 배우고 있습니다. Users entity의 role를 enum타입으로 변경하고 싶은데 , PrincipalDetails의 getAuthorities을 어떻게 설정하면 될까요?UsersRole enum 클래스 PrincipalDetails 클래스
- 미해결스프링부트 시큐리티 & JWT 강의
마지막 강의 질문있습니다.
- 학습 관련 질문을 남겨주세요. 상세히 작성하면 더 좋아요! - 먼저 유사한 질문이 있었는지 검색해보세요. - 서로 예의를 지키며 존중하는 문화를 만들어가요. - 잠깐! 인프런 서비스 운영 관련 문의는 1:1 문의하기를 이용해주세요.toString을 사용하지 않고 asString을 사용하는 이유가 있을까요?JWT.require(Algorithm.HMAC512("cos")).build().verify(token).getClaim("username").asString();
- 미해결스프링부트 시큐리티 & JWT 강의
스프링부트 whitelabel error page
안녕하세요.첫강의에서 config 설정하고 스프링부트 실행할때 나오는 패스워드로로그인창에 user/패스워드 입력하면 whitelabel error page 에러가 나옵니다.인터넷 찾아보니 경로를 못잡아서 그럴수 있다고하는데 index.html 경로는 선생님 디렉토리와 동일하게 맞춰놨고 config 설정하는 자바에서도 prefix, suffix 설정 동일하게 맞췄습니다.그 application.yml 에서는 mvc 부분은 삭제했구요(넣어도 안되더라구요)혹시 어느부분에서 그럴수있는지 알려주시면 감사하겠습니다.
- 미해결스프링부트 시큐리티 & JWT 강의
네이버 response 에 구글 이메일이 들어가 있는데
네이버로 회원가입 시getAttributes() 안 response 의 email에 구글메일이 들어가있는데왜그런지 아시는분 계신가요?
- 미해결스프링부트 시큐리티 & JWT 강의
Lombok 안되는 분들 참고
Lombok 안되시는 분들 있을 수 도 있어 남깁니다. 스프링부트 시작할 때 플러그인 넣어도 안되는 경우프로젝트 폴더 내 lombok 우클릭 -> Run As -> Java Application 눌러서 실행하면 설치 화면이 나옵니다.1. Specify location 누르신 후 IDE 실행파일 선택2. Install / Update 눌러서 실행3. Quit Installer 눌러서 나가기4. 이클립스 실행 하면 되는데 만약 이클립스 눌러도 반응이 없으신분들은이클립스 설치 폴더 안에 eclipse.ini 파일이 있습니다.눌러서 확인해보면 경로가 한글이 섞여 있는 경우는 이클립스 실행이 안되니 경로를 영어로 다 바꾸시면 됩니다. ※바탕화면이 한글로 되어 있는데 어떻게 Desktop 으로 바꾸죠 ??ㄴ 이건 인터넷 검색해보시면 되겠습니다. ※Lombok 설치 후 이클립스가 느려졌어요!!ㄴ eclipse.ini 파일 내부에-Xms256m-Xmx2048m여기 메모리 관련 부분을 수정-Xms2048m-Xmx4086m로 변경해서 사용하면 이전 처럼 빠르게 사용할 수 있습니다.
- 미해결스프링부트 시큐리티 & JWT 강의
SecurityConfig 작성할때 새로운 설정방법으로 해도 안돼요
.authorizeRequests()가 계속 빨간줄로 되는데 어떻게 해야하죠 ...?
- 해결됨스프링부트 시큐리티 & JWT 강의
role 컬럼은 꼭 들어가야하나요?
안녕하세요 강의내용보고 궁금해서 글 남깁니다!대부분 jwt 시큐리티를 구현할때 role이라는 컬럼을 넣으시는거 같은데왜 들어가야하는지 궁금합니다. 필수값인가요?감사합니다
- 미해결스프링부트 시큐리티 & JWT 강의
강사님 질문이있습니다 ㅠㅠ
public class MyCustomDsl extends AbstractHttpConfigurer<MyCustomDsl, HttpSecurity> { @Override public void configure(HttpSecurity http) throws Exception { System.out.println("체크포인트!@@!@!@!@"); AuthenticationManager authenticationManager = http.getSharedObject(AuthenticationManager.class); http .addFilter(new LoginFilter(authenticationManager)) .addFilterAfter(jwtFilter, UsernamePasswordAuthenticationFilter.class); } }를 구현하고, 로그인이 완료 되었을 때, @Override protected void successfulAuthentication(HttpServletRequest request, HttpServletResponse response, FilterChain chain, Authentication authResult) throws IOException, ServletException { log.info("successfulAuthentication 함수 실행: 로그인 성공"); PrincipalDetails principalDetails = (PrincipalDetails) authResult.getPrincipal(); /* 로그인 완료, 1. 토큰 생성 2. 쿠키 장착 */ response.setHeader("gd", "gdgd"); // response.sendRedirect("/api/loginTest"); // super.successfulAuthentication(request, response, chain, authResult); }이 메서드 까지 구현했습니다. 제 원래 로직은액세스 토큰, 리프레쉬 토큰을 생성하고리프레쉬 토큰을 DB에 담고액세스 토큰, 레프레쉬 토큰 두 개를 쿠키에 저장하는 로직입니다. ResponseCookie build = ResponseCookie .from("accessToken", "gd") .path("/") .httpOnly(true) // 시간 .maxAge(JwtUtil.REFRESH_TOKEN_EXPIRE_TIME) .sameSite("Lax") .build(); ResponseEntity.ok().header("Set-Cookie", build.toString()) .body("ok");대충 쿠키를 생성해서 그 쿠키를 헤더에 담는 방식을 사용 중인데, 이렇게 로그인 완료 메서드에서 구현할 방법이 없고 헤더에 저장할 방법이 없어서 너무 막막합니다.. Controller에서 그냥 구현하면 ResponseEntity를 이용해서 헤더에 고정적으로 담을 수 있는데로그인 성공 메서드에서 어떻게 해야 이렇게 똑같이 구현을 할 수 있을까요..ㅠㅠㅜ?
- 미해결스프링부트 시큐리티 & JWT 강의
안녕하세요 강사님 질문이 있습니다.
loadUserByUsername 메서드를 구현하지 않아도로그인 기능, 권한 넘겨주기 다 가능할 거 같은데이 메서드가 꼭 필요한 이유가 있나요?doFilter를 안 탄다고 말씀해주셨는데전 JWT를 쿠키에 저장하는데,쿠키의 값이 없을 때 doFIlter를 그냥 빠져나가는 식으로 구현했습니다. successfulAuthentication이나, 권한을 UsernamePasswordAuthenticationToken authentication // = new UsernamePasswordAuthenticationToken(userId, null, List.of(new SimpleGrantedAuthority("ROLE_USER")));authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request)); SecurityContextHolder.getContext().setAuthentication(authentication); 이렇게 넣을 수 있던데 이러한 방식은 뭐가 잘못된 걸까요?문제가 생기나요?
- 미해결스프링부트 시큐리티 & JWT 강의
마지막 강의 질문드립니다.
@Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws IOException, ServletException { // 안 지우면 응답을 한번하고 아래서 두번하게 됨 오류가 됨 // super.doFilterInternal(request, response, chain); System.out.println("인증이나 권한이 필요한 주소 요청이 됨 "); String jwtHeader = request.getHeader("Authorization"); System.out.println("JWT HEADER :: {} " + jwtHeader); // JWT 토큰을 검증해서 정상적인 사용자인지 확인하기 if (jwtHeader == null || !jwtHeader.startsWith("Bearer")) { chain.doFilter(request, response); // 밑에 진행이 안되게 return; } String token = request.getHeader("Authorization").replace("Bearer ", ""); String username = JWT.require(Algorithm.HMAC512("cos")).build().verify(token).getClaim("username").asString(); // 서명이 정상적으로 됨 if (username != null) { User userEntity = userRepository.findByUsername(username); PrincipalDetails principalDetails = new PrincipalDetails(userEntity); // 임의의 authentication 만들기 username 이 null 이 아니라는게 인증이 된거임 // jwt 토큰 서명을 통해서 서명이 정상이면 Authentication 객체를 만들어준다 Authentication authentication = new UsernamePasswordAuthenticationToken(principalDetails, null, principalDetails.getAuthorities()); // 시큐리티 저장할 수 있는 세션 공간 //강제로 시큐리티의 세션에 접근하여 Authentication 객체를 저장 SecurityContextHolder.getContext().setAuthentication(authentication); } chain.doFilter(request, response); } @Bean public SecurityFilterChain filterChain(HttpSecurity http) throws Exception { http.csrf().disable(); // 내 서버는 STATELESS http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS) .and() .addFilterBefore(new JwtFilter(), SecurityContextHolderFilter.class) .addFilter(corsFilter) // CrossOrigin(인증X) 시큐리티필터에 등록인증(O) .addFilter(new JwtAuthenticationFilter(authenticationManager())) .addFilter(new JwtAuthorizationFilter(authenticationManager(), userRepository)) // CrossOrigin 정책 안쓰고 모든 요청 허용 .formLogin().disable() // 폼로그인 사용 안함 .httpBasic().disable() // http 로그인 방식 안쓰겠다 .authorizeHttpRequests(auth -> auth.requestMatchers("/api/v1/user/**").hasAnyRole("ROLE_USER", "ROLE_MANAGER", "ROLE_ADMIN") .requestMatchers("/api/v1/manager/**").hasAnyRole("ROLE_MANAGER", "ROLE_ADMIN") .requestMatchers("/api/v1/admin/**").hasRole("ROLE_ADMIN") .anyRequest().permitAll() ); return http.build(); }마지막 강의 실습을 하는데요 디버깅 하면 유저 정보 정보 및 권한이 잘 조회되고 있지만403 에러가 발생하고 있습니다.SecuriyConfig에는 deprecated 를 이유로 antMatchers가 아닌 저렇게 권한설정을 해주었는데요 잘못된 부분이 있는지 문의드립니다.
- 미해결스프링부트 시큐리티 & JWT 강의
만약 존재하지 않는 ID가 들어올 경우는 어떻게 하는게 좋을까요?
강사님 안녕하세요.강의 늘 잘 보고 있습니다. 25강 내용에서,올바른 id일 경우 password 일치 여부에 따라 404 혹은 401 에러를 응답하는 것은 확인했습니다.헌데 id 자체가 잘못되었을 경우 서버 에러(500)가 발생하더라구요.잘못된 ID 입력에 대한 처리를 어떻게 하는게 좋을 지 궁금합니다.Service 계층(loadUserByUsername)에서 한번 검사를 한 후, 통과되었을 시 UserDetails을 return하는 식으로 구현하나요?이 경우, loadUserByUsername의 return값은 어떤 것이 권장되는지 궁금합니다.
- 미해결스프링부트 시큐리티 & JWT 강의
username 대소문자 관련
강사님 안녕하세요.강의 잘 보고 있습니다.다름이 아니라, 로그인을 하다보니 username으로 대문자가 입력되어도 소문자로 인식하여 로그인을 진행하더라구요. (AdMin -> admin 계정으로 로그인)이는 Jpa Query Methods로 생성된 SQL문에서 대소문자 구분이 되지 않는 명령이 생성되었기 때문인가요?직접 binary 등이 포함된 SQL문을 작성하거나, 설정을 직접 수정할 수도 있을 것 같은데대소문자를 구분하는 통상적인 방법이 궁금합니다.
- 미해결스프링부트 시큐리티 & JWT 강의
패스워드 검증은 어디서 이루어지는건가요?
회원가입은 BCryptPasswordEncoder를 통해 패스워드를 암호화를 했었늗데요 @PostMapping("/joinProc") public String joinPorc(User user) { String rawPassword = user.getPassword(); String encPassword = bCryptPasswordEncoder.encode(rawPassword); user.setPassword(encPassword); userRepository.save(user); return "redirect:/login"; }로그인할 떄 에는 따로 패스워드를 따로 검증하지 않고 username만 확인하더라구요@Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { User userEntity = userRepository.findByUsername(username); if(userEntity != null){ return new PrincipalDetails(userEntity); } return null; } @Bean public BCryptPasswordEncoder passwordEncoder() { return new BCryptPasswordEncoder(); }어느 부분에서 자동으로 BCryptPasswordEncoder를 통해 matches하고 검증하는건가요??