forBestDeveloper

패스워드의 암호화는 필수 → 부트 2.0부터는 무조건적으로 만들어야한다. 가장 많이 사용하는 것은 Spring Security의 BCryptPasswordEncoder 클래스이다. @Configuration @Log4j2 public class SecurityConfig extends WebSecurityConfigurerAdapter { @Bean PasswordEncoder passwordEncoder(){ return new BCryptPasswordEncoder(); } @Override protected void configure(HttpSecurity http) throws Exception { } } Override로 생성하려 햇으나 공식 문서에서 보안설정이 변경되었다는 이슈가 있다. @Co..

HTTP Session 기반의 구성 Spring Security 사용하는 이유 쿠키를 사용한 로그인 처리 → 서버에서 맴버의 정보를 가진 sessionId를 전달하고 서버에서는 쿠키 안에 sessionId의 value값을 통해 로그인 여부나 정보를 확인 문제점 키 값을 임의대로 변경할 수 있다. 쿠키에 보관된 정보(memberId) 를 타인이 도용하거나 이용할 수 있다. 세션과 쿠키를 사용한 로그인 처리 → 접근시 sessionId를 쿠키로 브라우저에게 주고 다음 접근 시 서버에서 sessionId를 통해 세션저장소에서 정보를 확인한다. 즉, 회원정보를 브라우저가 가지고 있지않고, 정보를 추측할 수 없는 sessionId를 통해 주고받아 안전하다. 문제점 세션기반 인증 방식을 사용하면 중앙 세션 관리 시..