Spring Security - RememberMeFilter
Spring Security - RememberMeAuthenticationFilter RememberMeAuthenticationFilter 세션이 사라지거나 만료가 되더라도 쿠키 또는 DB를 사용하여 저장된 토큰 기반 인증을 지원하는 필터 RememberMe ? RememberMeAuthenticationFilter를 살펴보기 이전에 먼저 RememberMe 기능에 대해 간단히 알아보자. 보통 로그인시 로그인 저장하기 등 체크박스가 존재하는 페이지를 많이 봤을것이다. 그런 로그인 페이지는 명시적으로 로그아웃하거나 하지 않는이상 세션보다 긴 수명의 로그인이 유지된다. 쿠키나, 서버의 DB에 토큰이 저장되어있는 토큰 기반의 인증을 말한다. EditThisCookie RememberMe는 Cookie정보를..
Spring Security - FilterSecurityInterceptor
Spring Security - FilterSecurityInterceptor FilterSecurityInterceptor Spring Security 에서 가장 마지막에 존재하는 필터 아키텍쳐를 살펴볼때 이미 디버깅을 통해 디테일하게 살펴보았다. AccessDecisionManager등을 사용해서 인증/인가 처리를 하는 필터이다. SpringSecurityFilterChain의 15개의 필터 중에서 Http Resource Security 처리를 담당하는 필터이다. Http Resource Security Config 우리가 기존에 설정해왔던 Resource관련 설정들이 바로 HttpResourceSecurityConfig이다. 이 설정은 AccessDecisionManager가 AccessDecis..
Spring Security - ExceptionTranslationFilter
Spring Security - ExceptionTranslationFilter Spring Security 에서 인증/인가 예외 처리 필터 ExceptionTranslationFilter ExceptionTranslationFilter는 SecurityInterceptor와 밀접한 관계가 있다. ExceptionTranslationFilter가 SecurityInterceptor 이전에 존재해야한다. 이유 ? ExceptionTranslationFilter가 try-catch 블록으로 감싼뒤 SecurityInterceptor를 실행하는 구조이다. SecurityInterceptor가 인가처리를 하는 과정에서 발생하는 예외를 처리한다. SecurityInterceptor SecurityIntercept..
Spring Security - SessionManagementFilter
Spring Security - SessionManagementFilter Spring Security 에서 중요한 역할을 하는 필터 SessionManagementFilter Session 변조 공격 방지 기능 공격을 방지하는 방법 : 인증을 한뒤 세션을 변경하는것 서블릿 컨테이너 버전따라 다르게 사용한다. migrateSession (서블릿 3.0- 컨테이너 사용시 기본값) 인증이 됬을때 새로운 세션을 생성한뒤, 기존 세션의 attribute들을 복사해 온다. changeSessionId (서블릿 3.1+ 컨테이너 사용시 기본값) 유효하지 않은 세션으로 접근했을때 어디로 보낼것인지 URL을 설정하는 기능. 로그아웃 했을경우 세션을 만료시킨다. 유효하지 않은 세션이 접근했을때 어디로 보낼것인지 URL ..