반응형 스프링/SpringSecurity2 JWT + SpringSecurity JWT 인증 JWT (JSON Web Token) 장점 Stateless : 토큰을 사용하면 세션을 통한 방식과 달리 서버나 메모리 부하를 낮출 수 있다. Scalability : 분산/클라우드 기반 인프라스트럭처에 더 잘 대응할 수 있다. 보안성 : 쿠키로 세션을 관리하지 않기 때문에 쿠키로인한 취약점은 없다. 단점 저장할 필드 수가 커질 수록 토큰이 커지며, 보안에 취약해진다. 토큰이 모든 요청에 포함되므로, 데이터 트래픽에 영향을 줄 수 있다. 한 번 발급되면 유효기간이 완료될 때 까지는 계속 사용하므로 탈취 가능성 존재 따라서, Access Token유효기간을 짧게하고, Refresh Token을 새로 발급 받도록 변경해야함 Header : 헤더는 토큰 타입, 해싱 알고리즘을 지정. 토큰 타입은 .. 2021. 3. 20. SPRING SECURITY SPRING SECURITY DispatcherServlet 받기 이전에 ServletFilter를 통해 인증/인가 처리. (ServletFilter는 WAS담당이지만 DelegatingFilterProxy를 boot에서 SecurityFilterAutoConfiguration 설정하여서 서블릿에 등록, 요청이 오면 FilterChainProxy(스프링 필터)에게 위임) 필터를 통한 접근제어 프레임웤 용어 인증(Authentication) : 로그인 인가(Authorization) : 권한확인 AuthenticationFilter - 로그인url 감시 -> AuthenticationManager인증 -> 성공이면 Authentication를 SecurityContextHolder에 저장 Authentic.. 2021. 2. 9. 이전 1 다음 728x90 반응형