안녕하세요. 강의 잘 듣고 있습니다!저의 질문은RememberMe의 존재 이유를 잘 모르겠습니다.로그인이 안풀리게 하려는건가요 ?그러면 세션의 유지시간을 길게 잡을 수 있을 것 같은데, 복잡하게 JSESSIONID와 REMEMBER 조합으로 쓰는 이유가 와닿지가 않네요.  어떠한 이유로 이게 생긴것이고, 어떤 상황에서 유용하게 쓸 수 있을까요?감사합니다.

_csrf 파라미터 이름과 값 사이에 공백이 있는지 확인해보세요공백이 있을 경우 아래와 같이 공백을 지우고 다시 시도하시면 정상 작동됩니다### POST request with a header POST http://localhost:8080/csrf Content-Type: application/x-www-form-urlencoded _csrf=6LGfk2d_v1r5vsNT5VxTiI_8HIvuqSEMwVrVRCCQUXXhiSxyjNSppF5Jjz_Uiftmg3FnurzEMbONyhkhpD-wfROnYUTUuE5E

클라이언트 응답후 SecurityContextHolder는 계속 clear된다고 이해했습니다. 그럼 결국 Session에는 SecurityContext 가 저장되서 유지되는거고, 인증이 필요할때 해당 Session에서 SecurityContext를 꺼내 해당 요청동안에 SecurityContextHolder에 저장해서 사용한다고 이해하면 될까요?

Spring security 6.3.3 버전에서 setHierarchy와 생성자인 RoleHierarchyImpl()가 deprecated 되어 공식문서 권장 방법으로 수정한 코드를 남깁니다.전) 이전 방식@Bean public RoleHierarchy roleHierarchy() { RoleHierarchyImpl roleHierarchy = new RoleHierarchyImpl(); roleHierarchy.setHierarchy("ROLE_ADMIN > ROLE_DB\n" + "ROLE_DB > ROLE_USER\n" + "ROLE_USER > ROLE_ANONYMOUS"); return roleHierarchy; } 후) 정적 메소드 fromHierarchy 사용@Bean public RoleHierarchy roleHierarchy() { return fromHierarchy("ROLE_ADMIN > ROLE_DB\n" + "ROLE_DB > ROLE_USER\n" + "ROLE_USER > ROLE_ANONYMOUS"); }

사용자가 웹에 접속하고 로그인도 안했는데 세션이 왜 생기는건가요? 지금까지 이전 강의에서는 로그인 인증에 성공하면 그때 서버에서 세션을 생성하고 저장한다고 배웠던거 같은데 그냥 접속만 해도 서버에서 클라이언트에 왜 세션을 주는건지 모르겠습니다.

고정ㆍ이동형 영상정보처리기기 강의 9분 18초에는 시행령 제27초의3에 따라서 이동형 영상정보처리기기가 허용된 경우에 촬영할 때는 불빛, 소리, 안내판, 안내서면, 안내방송으로 표시하라고 나오는데 경찰관의 바디캠에는 그런게 없는 것 같은데 원래 알려야하는 것 아닌가요?

고정ㆍ이동 영상정보처리기기 강의 8분 07초 부터 질문이 있습니다. 강의에서는 "일반인이 드론에 카메라를 달고 찍고다니는 것은 업무 목적이 아니기 때문에 안된다" 라고 말하셨는데다음 부분에서 "찍을거면 찍히는 모든 사람의 동의를 받아야 한다" 라는 문맥에 비추어볼 때 "안 된다"라는 의미는업무목적이 아니기 때문에 촬영해서는 안 된다 라는 뜻으로 보이는데, 25조2 자체가 업무를 목적으로 하는 사람에게 제한되어 있으며 7분24초에서 유튜버의 경우 업무 목적이 아니기 때문에 예외된다고 나왔습니다.그러면 드론에 카메라를 달고 일반인을 찍는 행위는 업무 목적이 아니기 때문에 원칙적으로 이 법의 영향권 밖 아닌가요?

두번째 방식이 CustomProvider에 의해 처리가 되는 것이 이해가 되지 않습니다.첫번째 방식과 단지 CustomProvider를 추가한 것만 다르다고 생각하는데 이로 인해 해당 CustomProvider가 선택된것인가요?아니면 Dao방식은 parent에 존제하기 때문에 현재 list에 존제하는 custom방식이 채택된거라고 이해하면 될까요?

requestMatchers("/login").permitAll()로 /login에 대한 요청은 인증이 필요없게 설정했는데, .formLogin()을 설정하고 나서 "/login" 요청이 formLogin 방식의 필터에 걸리는 건가요?formLogin() 설정을 해도 이미 위에서 equestMatchers("/login").permitAll() 로 /login 에 대한 요청은 인증이 필요없으므로 필터에 걸리지 않고 바로 컨트롤러 PostMapping("/login")으로 가야되는거 아닌가요?

 수령인에서의 비고란 내용이 이해되지 않습니다.비고란에서의 내용은 결국 GDRP의 수령인과 제3자를 구분하는 범위에 대한 이야기일까요??

클라이언트마다 별도의 쓰레드가 할당되고 각 쓰레드별로 쓰레드로컬을 가지고있어 여기에 인증객체를 가진 SecurityContext가 저장된다고 설명해주셨습니다. 근데 제가 알기로 같은 사용자더라도 서버에 요청할때마다 다른 쓰레드가 할당되는걸로 아는데 아닌가요? 맞다면 같은 사용자이더라도 요청할때마다 별도의 쓰레드가 할당되므로, 이전 요청에서 로그인인증을 통해 저장했던 SecurityContext는 사용하지 못하는거 아닌가요?

CustomAuthenticationFilter 관련 설명에서 AuthenticationManager는 빈이 아니기 때문에 주입받지 못해 @Bean 선언하면 안된다고 설명하셨는데요.AuthenticationManager를 bean으로 등록하고 CustomAuthenticationFilter를 bean으로 등록해서 AuthenticationManager를 주입받는 식으로 코드를 짜도 될 것 같은데 그렇게 하지 않은 이유가 securityFilterChain 내에서만 사용되기 때문에 bean으로 등록할 이유가 없기 때문인가요? 아니면 혹시 다른 이유가 있나요?

SecurityContextPersistenceFilter를 사용하고 폼 로그인 처리 방식을 사용한다고 하면 UsernamePasswordAuthenticationFilter를 사용할텐데 해당 필터는 스프링 시큐리티가 인증에 성공시 자동으로 세션에 시큐리티 컨텍스트를 저장한다고 했는데SecurityContextPersistenceFilter 또한 finally에서 세션에 또 저장을 하니까 2번 저장하게 될까요?

안녕하세요 강의 재미있게 듣고 있습니다!SecurityContextPersistenceFilter를 사용하고 폼 로그인 처리 방식을 사용한다고 하면 UsernamePasswordAuthenticationFilter를 사용할 텐데 해당 필터는 스프링 시큐리티가 인증에 성공 시 자동으로 세션에 시큐리티 컨텍스트를 저장한다고 했는데SecurityContextPersistenceFilter 또한 finally에서 세션에 또 저장을 하니까 2번 저장하게 될까요?

AuthenticationManager 사용 방법­ HttpSecurity 사용에서@Bean 사용으로 CustomFilter를 빈으로 생성하면 안되는 이유가AutenticationManager가 빈이 아니기 때문에 주입받지 못한다고 하셨는데securityFilterChain(HttpSecurity http)메서드에서 AuthenticationManagerBuilder를 통해build() or getObject()사용으로 AuthenticationManager를 가져오고.addFilterBefore(customFilter(autenticationManager))여기서 넘겨주면 파라미터로 AuthenticationManagerf를 받는게 아닌가요?

접근 권한의 관리/ 접근 통제 강의의 5분 50초 무렵에 나오는"이용자가 아닌 정보주체"는 정보통신서비스 제공자의 고객이 아닌 개인정보처리자라고 하셨는데,그러면 개인정보처리를 하는 공공기관의 경우만약 공공기관에서 관리하는 회원들의 개인정보 처리시스템에 접근할 때는 반드시 인증서, 보안토큰 등으로 추가인증을 해야하고, 그 기관의 직원 등에 관한 개인정보를 처리할 때는 vpn이나 전용선 등을 이용하면 된다는 것이 맞나요?

고정 이동 영상정보처리기기 강의 8분 30초 부근에서유튜버가 공개된 장소에서 촬영하는 것은 업무 목적이 아니기 때문에 25조의 영향을 받지 않는다고 하셨는데,유튜브를 전업으로 삼는 경우는 촬영하는 것이 업무라고 볼 수 있지 않나요?취미로 유튜브를 하는 사람이 아니라 직업 자체가 유튜버인 사람은 공개된 장소에서의 촬영이 업무로 되기에 25조의 영향을 받지 않나 궁금합니다.

개인정보 제공과 목적 외 이용 제공 강의3분 06초에 나오는 필수 항목에서개인정보 제3자 제공 동의는 개인정보처리자가업무를 수행함에 있어서 필수적인 부분이 아닌데왜 필수 항목으로 반드시 동의를 해야만 할 수 있게 되어있나요?? 거부할 권리가 있으니 선택항목 아닌가요?

안녕하세요. 요청을 필터가 처리하기까지의 과정이 맞는지 확인하고자, 질문드립니다.먼저 FilterChainProxy가 SecurityFilterChain을 선택하는방법이 여러개의 SecurityFilterChain 중에 가지고 있는 RequestMatcher url 패턴에 맞는 SecurityFilterChain을 확인 후 선택함.또 다시 SecurityFilterChain 이 가진 여러 필터들 중에서 요청 url에 해당하는 패턴을 처리할 수 있는 필터를 선택해서 해당 필터에서 처리하도록 함.위 과정이 대략적으로 맞을까요?

안녕하세요 강사님 좋은 강의 감사드립니다.처음부터 지금까지 모든 강의 내용을 직접 코딩을 따라 하며 실습하고 있었는데 해당 영상에서 질문할 것이 있습니다.RoleHierarchyImpl을 빈 등록할 때 setHierarchy는 deprecated 되어서 fromHierarchy로 했더니 사진의 에러가 발생합니다. 두 메소드의 코드가 다르기 때문에 이런 에러가 발생한다고 추측되는데 deprecated된 setHierarchy를 사용하는 대신 다른 방안이 있을지 궁금해서 여쭤봅니다. 사실 계층적 권한 관련된 내용을 처음 설명해주시는 관련 영상(섹션 9의 마지막 영상)에서는 setHierarchy 대신 fromHierarchy를 사용했어도 잘 동작했었기에 더 궁금합니다.(그때는 물론 role을 db로 관리하지 않는 간단한 예제였습니다) 확인해주시고 코멘트 달아주시면 많은 도움이 될 것 같습니다. 감사합니다.@Configuration public class AuthConfig { @Bean public PasswordEncoder passwordEncoder() { return PasswordEncoderFactories.createDelegatingPasswordEncoder(); } // 커스텀 계층 권한 적용 @Bean public RoleHierarchyImpl roleHierarchy(RoleHierarchyService roleHierarchyService) { String allHierarchy = roleHierarchyService.findAllHierarchy(); RoleHierarchyImpl roleHierarchy = new RoleHierarchyImpl(); roleHierarchy.fromHierarchy(allHierarchy); //roleHierarchy.setHierarchy(allHierarchy); return roleHierarchy; } }