look-forest

소셜 로그인 시 JWT(Access Token, Refresh Token)을 발행한다.Refresh Token을 저장할 용도와,로그아웃, 탈퇴 시 Access Token을 Blacklisting할 용도로 Redis를 도입할 예정이다.EC2 서버에 Redis 설치하여 적용하기 (개발계)개발계 서버에는 EC2에 직접 Redis를 설치하여 적용할 예정이다.우선 로컬 서버에는 Redis를 직접 설정하고, 개발계는 docker를 이용해 redis 설정을 적용한다. 로컬에 Redis 적용하기1. 로컬에 redis 설치2. Springboot에 Redis 적용하기1) 의존성 추가implementation 'org.springframework.boot:spring-boot-starter-data-redis' 2) R..

OAuth2.0 클라이언트와 스프링 시큐리티 6 프레임워크를 활용하여, 신뢰할 수 있는 외부 사이트(구글, 네이버)로 부터 인증을 받고, 전달 받은 유저 데이터를 활용하여 JWT를 발급하고 인가를 진행하는 방법. ※ 프로젝트 컨셉 - OAuth2 클라이언트 JWT방식을 구현하기 위한 가장 기본적인 뼈대 코드- 프론트/백엔드 서버가 나눠진 상황 가정 - OAuth2.0 코드 방식 인증을 활용 - 인증 후 발급된 정보로 JWT를 발급, JWT는 단일 토큰으로 진행JWT 방식에서 OAuth2 클라이언트 구성시 고민점JWT 방식에서는 로그인(인증)이 성공하면 JWT 발급 문제와 웹/하이브리드/네이티브앱별 특징에 의해 OAuth2 Code Grant 방식 동작의 책임을 프론트엔드 측에 둘 것인지 백엔드 측에 둘 ..

단일 JWT 발급을 넘어, 더 높은 수준의 보안을 위한 JWT 구현 방법을 알아보자.보안을 위한 JWT의 진화단일 토큰 사용의 문제점JWT 탈취 위험1. 로그인 성공 시 JWT 발급 : 서버 → 클라이언트2. 권한이 필요한 모든 요청에 JWT 전송 : 클라이언트 → 서버 JWT는 수 많은 요청을 위해 클라이언트의 JS 코드로 HTTP 통신을 통해 서버로 전달된다. 이 과정에서 해커는 클라이언트 측에서 XSS를 이용하거나 HTTP 통신을 가로채 토큰을 탈취할 수 있다.XSS(Cross-Site Scripting) : JS와 같은 악성 코드를 삽입하여 브라우저에서 실행되도록 공격.쿠키, 세션 등 탈취 가능. 서버에서 쿠키 설정 시 httpOnly 속성을 추가하면 쿠키를 JS로 접근할 수 없게 설정.CSRF(..

JWT 방식으로 인증을 진행하는 스프링 시큐리티 구현 방법을 알아보자.1. JWT에 대하여2. JWT 방식 스프링 시큐리티 구현3. CORS에 대하여JWT란JWT(JSON Web Token)는 웹, 모바일 애플리케이션에서 인증과 권한 부여를 위해 자주 사용되는 JSON 기반의 토큰. JWT 구성헤더(Header): JWT의 유형과 해싱 알고리즘을 지정.페이로드(Payload): 사용자 정보나 추가적인 데이터를 담고 있다. (사용자의 ID, 역할(role), 토큰의 유효기간 등)서명(Signature): 헤더와 페이로드를 합친 후 지정한 비밀 키를 이용해 서명하여 변조 방지를 위해 사용됨(검증용)※ JWT 암호화 방식은 크게 단방향/양방향이 있고, 양방향에는 대칭키/비대칭키 방식이 있다. JWT의 특징내부..