수민정의 기술블로그

CSRF( Cross Site Request Forgery ) 사이트 간 요청 위조 공격 사용자가 인증을 완료하여 서버에서 JSESSIONID를 받급 받는다. 공격자는 이메일과 같은 방법으로 링크를 사용자에게 전달 사용자가 링크를 여는 즉시 사용자의 브라우저는 이미지파일을 로딩하기위해 img 태그의 src 속성 값으로 서버 주소, 공격자의 주소 값으로 요청을 보낸다. 결국 인증된 사용자의 브라우저로 요청이 가므로 서버는 쿠키를 검사하고 인증된 사용자로 판단 사용자는 승인, 인지 없이 공격자의 배송지가 등록됨으로 공격이 완료된다. Form 인증 - CsrfFilter SpringSecurity 는 모든 Request 에 대해 랜덤하게 생성된 CsrfToken 을 HTTP Prameter 로 요구한다. Re..

Remember Me 기능..? Remember Me 기능을 활성화하면 Spirng Security 는 세션이 만료되거나 브라우저가 종료된 뒤에도 어플리케이션이 사용자를 기억하게끔한다. Remeber Me 기능을 활성화 한 상태에서 사용자의 요청 Spring Security는 Remember-Me 쿠키에 대한 Http 요청을 확인 후 토큰 기반 인증을 사용하여 유효성을 검사, 검증이 되면 자동으로 로그인 됨 사용자 요청의 라이프사이클 인증성공 : Remember-Me 쿠키 설정 인증실패 : 쿠키 존재시 무효화 로그아웃 : 쿠키 존재시 무효화 Remember Me 기능을 위한 API들 http.rememberMe() : rememberMe 기능이 작동 rememberMe() 의 하위 API들 remembe..