방문해 주셔서 감사합니다! 항상 행복하세요! - 문의사항은 메일 또는 댓글로 언제든 연락주세요. - "해줘","답 내놔" 같은 질문은 답변드리지 않습니다. - 메일주소 : lts06069@naver.com Security3 [SpringBoot] Spring Security jwt 연동 하기 - 2023 스프링 부트 환경에서 시큐리티와 JWT를 연동하는 방법 입니다. 이미 수많은 글들이 존재하지만 제 스스로가 이해하기 쉽도록 정리를 한번 해 보았습니다. 먼저 필요한 라이브러리는 3종류 입니다. * maven 기준 org.springframework.boot spring-boot-starter-security io.jsonwebtoken jjwt 0.9.1 javax.xml.bind jaxb-api 기능은 크게 2가지로 구분지어 적용 할 수 있습니다. 1. JWT 설정 2. 시큐리티 설정 시큐리티는 기본적으로 서버의 자원을 활용하여 로그인 여부를 관리하고 판단 합니다. 사용자가 로그인하거나 정보를 바꾸면 서버 내부의 세션(session)을 생성하여 관리를 합니다. 그러므로 이러한 시큐리티에 JWT를 적용 .. 2023. 4. 7. Nestjs 프레임워크 서버(XSS 방지, Cross Site Scripting) -11 # XSS(cross site scripting) 크로스 사이트 스크립트 변조(cross site scripting, xss)는 공격자가 상대방의 브라우저에 스크립트가 실행되도록 해 사용자의 세션을 가로채거나, 웹사이트를 변조하거나, 악의적 콘텐츠를 삽입하거나, 피싱 공격을 진행하는 것을 말합니다. 아래와 같은 파라미터를 통해서 게시글을 등록하였다고 가정하여 봅니다. http://127.0.0.1:3000/등록?id=asdf&name=&desc=aaa id, name, desc 값으로 해당 내용이 등록이 되고 등록된 내용을 사용자가 본다고 가정하면, while( alert(1234) ) 라는 명령어에 의해서 다른 사용자가 게시글을 보게 될 경우에 경고창이 1234 라는 숫자와 함께 끝나지 않고 계속해서 .. 2022. 8. 29. 18. 세션고정(SF) 세션 고정 취약점은 사용자 로그인 시 항상 일정하게 고정된 세션ID가 발급되는 경우 해커의 세션 ID 탈취로부터 비인가자의 접근 및 권한 우회가 가능한 취약점을 의미 합니다. #방법1 세션 생성과 관련된 설정은 각각의 어플리케이션 서버에서 동작하게 되어 있습니다. 또한 로그아웃이나 브라우저의 종료 행위에 따라서 세션을 clear하거나 remove를 해 준다면 세션 아이디 값을 초기화 할 수 있습니다. 아래 샘플코드처럼 사용자의 접속 종료 행위에 대해서는 세션내용을 제거 해 주도록 합니다. public static void removeSessions(HttpSession session) { Enumeration names= session.getAttributeNames(); while(names.hasMo.. 2021. 12. 8. 이전 1 다음
