묻고 답해요
141만명의 커뮤니티!! 함께 토론해봐요.
인프런 TOP Writers
-
해결됨스프링 시큐리티 완전 정복 [6.x 개정판]
간단한 인텔리제이 질문!!
안녕하세요 강사님!수업 잘 듣고있습니다 다름이 아니라 .. 정말 간단한 질문인데 메소드 체인으로 이을때 강사님은 빠르게 하시는것같아서 뭐누르시는건지 궁금해서 여쭤봅니다여기 보면 커서가 userId의 마지막에 있잖아요그럴때 이제 저기서 뒤에 .passwordParameter("password") 메소드 체인 이으실때 무슨 키를 누르셨나요? 저는 end키로 ("userId")괄호 끝으로 옮기고 엔터 누른뒤에 했거든여..
-
미해결스프링 시큐리티 완전 정복 [6.x 개정판]
OncePerRequestFilter 질문
OncePerRequestFilter는 요청당 한 번만 필터가 동작하도록 보장된? 필터라고 말씀해주셨는게 하나의 요청에 하나의 필터가 여러 번 동작하는 경우도 있나요..?
-
미해결스프링 시큐리티 완전 정복 [6.x 개정판]
restSecurityFilterChian에서 addFilterBefore와 authenticationManger 질문
httpSecurity.formLogin()을 설정해주지 않으면, securityFilterChain에 UsernamePasswordAuthenticationFilter가 없지 않나요? restAuthenticationFilter를 UsernamePasswordAuthenticationFilter 앞에 추가할 수 있나요? restAuthenticationFilter에서 authenticationManager를 사용할 수 있도록 설정해주었는데, httpSecurity에 또 세팅해줘야 하는 이유가 있는걸까요?
-
미해결스프링 시큐리티 완전 정복 [6.x 개정판]
설정 클래스 생성
HttpSecurity 빈이 설정 클래스를 생성한다는 게 SecurityConfigurer 타입 객체들을 생성한다는 건가요?
-
미해결스프링 시큐리티 완전 정복 [6.x 개정판]
강의자료에서 수정되어야 될 부분이 있네요.
강의자료 DelegatingPasswordEncoder 빈 정의에서알고리즘 지정생성에서@Bean public PasswordEncoder passwordEncoder() { String encodingId = "pbkdf2"; Map encoders = new HashMap<>(); encoders.put(encodingId, Pbkdf2PasswordEncoder.defaultsForSpringSecurity_v5_8()); DelegatingPasswordEncoder delegatingPasswordEncoder = new DelegatingPasswordEncoder(encodingId, encoders); return delegatingPasswordEncoder;} 에서 String encodingId = "pbkdf2"; 가 String encodingId = "pbkdf2@SpringSecurity_v5_8""; 로 수정되어야 되거나 아님 encoder 할때 버전을 5_5로 바꾸어야 하네요.한참 헤메이다 저처럼 헤메이지 말라구 올려봅니다.
-
해결됨CPPG 개인정보관리사 자격증 취득하기 (개정안 반영)
정보보안 섹션 이후 강의 내용
안녕하세요. 혹시 정보통신망법 이후의 강의 내용이 추가로 올라 오는지에 대해서 궁금하여 문의드립니다.. 강의를 잘 들었는데 마지막에 다음 강의를 또 올리시는 것 같은 느낌이 들어서요.
-
미해결스프링 시큐리티 완전 정복 [6.x 개정판]
실전프로젝트 소스코드 확인부탁드립니다.
현재 실전프로젝트 강의 듣고 있는데요 로그인페이지를 확인하려고 하는데 소스를 확인할수 없네요.https://github.com/onjsdnjs/spring-security-master/tree/3404뜨는데 강의자료가 유실된건가요? 확인부탁드립니다.
-
해결됨자동차 사이버 보안
오토사 강의 출시 예정일~?
안녕하세요. 항상 좋은 강의 감사드립니다. 혹시 오토사 강의 출시 예정일을 대략적으로나마 알 수 있을까요~? 감사합니다.
-
미해결스프링 시큐리티 완전 정복 [6.x 개정판]
메소드 기반 커스텀 AuthorizationManager 구현 관련 질문
안녕하세요 강사님좋은 강의 감사드립니다.해당 영상보면서 따라해보고 있는데 시큐리티 버젼이 달라서 그런건지 원인은 잘 알 수 없지만 @PreAuthorize(value="") 이렇게 설정하면 에러가 발생합니다. 제가 작성한 코드는 다음과 같은데 이유를 알 수 있을까요?강의와 다른점은 저는 @PreAuthorize 어노테이션을 컨트롤러에 선언했습니다.확인해주시고 답변 주시면 정말 감사드리겠습니다.@Configuration @EnableWebSecurity @EnableMethodSecurity(prePostEnabled = false) public class CustomMethodAuthorizationManagerConfig { @Bean public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception { http.authorizeHttpRequests(auth -> auth .anyRequest().authenticated()) .formLogin(Customizer.withDefaults()) .csrf(AbstractHttpConfigurer::disable) ; return http.build(); } } @EnableMethodSecurity(prePostEnabled = false) @Configuration public class MethodSecurityConfig { @Bean @Role(BeanDefinition.ROLE_INFRASTRUCTURE) public Advisor preAuthorize() { return AuthorizationManagerBeforeMethodInterceptor.preAuthorize(new MyPreAuthorizationManager()); } @Bean @Role(BeanDefinition.ROLE_INFRASTRUCTURE) public Advisor postAuthorize() { return AuthorizationManagerAfterMethodInterceptor.postAuthorize(new MyPostAuthorizationManager()); } }MyPostAuthorizationManager와 MyPreAuthorizationManager는 강의의 코드와 동일합니다.@RestController @RequestMapping("/method/custom") @RequiredArgsConstructor public class CustomMethodController { @GetMapping("/admin") @PreAuthorize(value = "") public String admin() { return "admin"; } @GetMapping("/user") @PostAuthorize(value = "isAuthenticated()") public MethodAccountDTO user(String name) { return new MethodAccountDTO(name, false); } }
-
미해결스프링 시큐리티 완전 정복 [6.x 개정판]
주입받는 authenticationManagerBuilder 질문
HttpSecurity에서 가져올 수 있는 AuthenticationManagerBuilder와주입받는 AuthenticationManagerBuilder가 사로 다른건가요?AuthenticationManagerBuilder가 자동 초기화과정에서 빈으로 생성되고 이게 싱글톤 빈이 아닌건가ㅛ..?
-
미해결스프링 시큐리티 완전 정복 [6.x 개정판]
UsernamePasswordAuthenticationFilter 존재 여부
CustoamAuthenticationFilter를 UsernamePasswordAuthenticationFilter앞에 추가하셨는데,formLogin api를 설정하지 않아도 UsernamePasswordAuthenticationFilter가 존재하는 건가요..?
-
미해결스프링 시큐리티 완전 정복 [6.x 개정판]
postman에서 rest login role 테스트 하는 방법?
rest api 비동기 로그인을 프로젝트를 따라하며 공부하고 있는데요, postman에서 로그인된 회원에 대한 api를 테스트하고 싶은데 로그인 정보?를 어디에 넣어 줘야 테스트가 가능할까요?
-
미해결스프링 시큐리티 완전 정복 [6.x 개정판]
WebSecurity관해여 질문드립니다
강의자료 pdf 19page 설명하실 때 WebSecurity는 HttpSecurity에서 생성한 SecurityFilterChain을 SecurityBuilder에 저장한다고 하셨는데, SecurityBuilder는 인터페이스인데 어떻게 저장하는지 이해가 안됩니다. 원래 변수나 데이터들은 객체에 저장하는게 아닌가요?
-
미해결스프링 시큐리티 완전 정복 [6.x 개정판]
컨트롤러에서 그냥 Authentication을 파라미터로 받아요면 null인 이유
컨트롤러가 실행되는 시점이면 이미 모든 Filter를 거쳤으니 AnonymousAuthenticationFilter도 거쳤을거라 생각하고, SecurityContext에도 AnonymousAthenticationToken이 있으니,Authentication에 AnonymousAthenticationToken이 있을거라 생각했는데, 왜 null이 있는건가요??그리고 왜 @CurrentSecurityContext로 찾을때만 AnonymousAthenticationToken를 받을수 있는건가요??
-
미해결스프링 시큐리티 완전 정복 [6.x 개정판]
회원 권한이 있어도 deinied로 가는데 이유가 뭘까요? ㅠㅠ
package io.security.springsecuritymaster.security.config; import io.security.springsecuritymaster.security.filter.RestAuthenticationFilter; import io.security.springsecuritymaster.security.handler.FormAuthenticationSuccessHandler; import io.security.springsecuritymaster.security.handler.FromAuthenticationFailureHandler; import io.security.springsecuritymaster.security.handler.FromAccessDeniedHandler; import io.security.springsecuritymaster.security.handler.RestAuthenticationFailureHandler; import io.security.springsecuritymaster.security.handler.RestAuthenticationSuccessHandler; import io.security.springsecuritymaster.security.provider.RestAuthenticationProvider; import io.security.springsecuritymaster.security.token.RestAuthenticationToken; import jakarta.servlet.http.HttpServletRequest; import lombok.RequiredArgsConstructor; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.core.annotation.Order; import org.springframework.security.authentication.AuthenticationDetailsSource; import org.springframework.security.authentication.AuthenticationManager; import org.springframework.security.authentication.AuthenticationProvider; import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; import org.springframework.security.config.annotation.web.configurers.AbstractHttpConfigurer; import org.springframework.security.core.userdetails.User; import org.springframework.security.core.userdetails.UserDetails; import org.springframework.security.core.userdetails.UserDetailsService; import org.springframework.security.crypto.factory.PasswordEncoderFactories; import org.springframework.security.crypto.password.PasswordEncoder; import org.springframework.security.provisioning.InMemoryUserDetailsManager; import org.springframework.security.web.SecurityFilterChain; import org.springframework.security.web.authentication.AuthenticationFailureHandler; import org.springframework.security.web.authentication.AuthenticationSuccessHandler; import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter; import org.springframework.security.web.authentication.WebAuthenticationDetails; @EnableWebSecurity @Configuration @RequiredArgsConstructor public class SecurityConfig { // private final UserDetailsService userDetailsService; private final AuthenticationProvider authenticationProvider; private final RestAuthenticationProvider restAuthenticationProvider; private final FormAuthenticationSuccessHandler formAuthenticationSuccessHandler; private final FromAuthenticationFailureHandler fromAuthenticationFailureHandler; private final RestAuthenticationSuccessHandler restAuthenticationSuccessHandler; private final RestAuthenticationFailureHandler restAuthenticationFailureHandler; private final AuthenticationDetailsSource<HttpServletRequest, WebAuthenticationDetails> authenticationDetailsSource; @Bean public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception { http .authorizeHttpRequests(auth -> auth .requestMatchers("/css/**", "/images/**", "/js/**", "/favicon.*", "/*/icon-*").permitAll() // 정적 자원 설정 .requestMatchers("/", "/signup", "/login*").permitAll() .requestMatchers("/user").hasAuthority("ROLE_USER") .requestMatchers("/manager").hasAuthority("ROLE_MANAGER") .requestMatchers("/admin").hasAuthority("ROLE_ADMIN") .anyRequest().authenticated() ) .formLogin(form -> form .loginPage("/login").permitAll() .authenticationDetailsSource(authenticationDetailsSource) .successHandler(formAuthenticationSuccessHandler) .failureHandler(fromAuthenticationFailureHandler) ) // .userDetailsService(userDetailsService) .authenticationProvider(authenticationProvider) .exceptionHandling(exception -> exception.accessDeniedHandler(new FromAccessDeniedHandler("/denied"))) ; return http.build(); } @Bean @Order(1) public SecurityFilterChain restSecurityFilterChain(HttpSecurity http) throws Exception { AuthenticationManagerBuilder authenticationManagerBuilder = http.getSharedObject(AuthenticationManagerBuilder.class); authenticationManagerBuilder.authenticationProvider(restAuthenticationProvider); AuthenticationManager authenticationManager = authenticationManagerBuilder .build(); http .securityMatcher("/api/login") .authorizeHttpRequests(auth -> auth .requestMatchers("/css/**", "/images/**", "/js/**", "/favicon.*", "/*/icon-*").permitAll() // 정적 자원 설정 .anyRequest().permitAll() ) .csrf(AbstractHttpConfigurer::disable) .addFilterBefore(restAuthenticationFilter(http, authenticationManager), UsernamePasswordAuthenticationFilter.class) .authenticationManager(authenticationManager) ; return http.build(); } private RestAuthenticationFilter restAuthenticationFilter(HttpSecurity http, AuthenticationManager authenticationManager) { RestAuthenticationFilter restAuthenticationFilter = new RestAuthenticationFilter(http); restAuthenticationFilter.setAuthenticationManager(authenticationManager); restAuthenticationFilter.setAuthenticationSuccessHandler(restAuthenticationSuccessHandler); restAuthenticationFilter.setAuthenticationFailureHandler(restAuthenticationFailureHandler); return restAuthenticationFilter; } // @Bean // public UserDetailsService userDetailsService() { // UserDetails user = User.withUsername("user").password("{noop}1111").roles("USER").build(); // return new InMemoryUserDetailsManager(user); // } }
-
미해결스프링 시큐리티 완전 정복 [6.x 개정판]
AuthenticatedAuthorizationManager 흐름도 질문
RequestMatcher가 Request와 매칭되는지 확인결과가 Y라면, entry를 호출해 authorizationManager를 통해 인가 체크.결과가 N이라면, 다음 RequestMatcherEntry의 RequestMatcher를 살펴보는 거 아닌가요?흐름도에는 N인데 바로 AccessDeniedException이 터진다고 되어있는데..
-
해결됨CPPG 개인정보관리사 자격증 취득하기 (개정안 반영)
강의 일시정지 부탁드려요.
개인적인 사정으로 공부를 좀 미뤄야 할 것 같아요. 강의 일시정지 부탁드려요.
-
해결됨스프링 시큐리티 완전 정복 [6.x 개정판]
섹션2 인증프로세스 마지막 강의 SavedRequest 질문있습니다
강의 잘 듣고있습니다. 궁금한 점은 다음과 같습니다.로그인 성공 시, onAuthenticationSuccess 내부에서파라미터 continue를 사용하지 않고 , 다음과 같이 /home 으로 이동하도록 하였습니다.response.sendRedirect("/home")그리고 /home 요청을 처리할 때,RequestCacheAwareFilter 에서 SavedRequest 를 사용하지 않고 현재 request를 다음 필터로 넘기는 것을 보았고, 어차피 로그인이 성공되었으니, 정상적으로 /home 으로 가는 것도 확인하였습니다.SavedRequest 를 사용하면 성능상 이점이 있다고 하셨지만, 어떤 부분에서 이점이 있는지 모르겠습니다.SavedRequest 나 현재 request 는 같을텐데, 어떻게 이점이 있는지 궁금합니다 .감사합니다.
-
해결됨CPPG 개인정보관리사 자격증 취득하기 (개정안 반영)
CVM기법
기명식 기프트카드는 개인정보의 추적성을 제공하여 개인정보의 가치를 투영할 수 있는 대상으로 인식된다.이 부분이 정확히 무슨 내용인지 감이 안 잡히는데요~~ 설문 했다고 받은 기프트카드가 왜 개인정보 가치 투영 대상이 되는지 잘 모르겠습니다ㅠ
-
미해결스프링 시큐리티 완전 정복 [6.x 개정판]
공격자의 세션을 피해자가 사용하는 부분이 이해가 안 됩니다
같은 질문아 밑에 있긴한데 답변이 이해가 안가서 다시 질문을 올립니다.공격자가 서버로부터 세션 쿠키를 얻었다는 건 공격자가 로그인을 했다는 거 아닌가요?이 세션 쿠키를 다른 피해자에게 강제로 사용하도록 하는 걸 세션 고정 공격이라고 하는 것 맞나요?이게 맞다면 피해자의 활동을 서버에서는 공격자의 활동으로 인식하게 되는거고, 피해자는이미 공격자의 세션쿠키를 갖고 있으니까 별다른 인증이 필요 없은 것 아닌가요?피해다가 또 로그인을 한다는 부분이 잘 이해가 안 됩니다.아니면, 피해자가 공격자의 세션 쿠키를 들고있음에도 로그인 페이지로 접속하여 로그인을 하게됐을 때, 서버에서 새로운 세션을 생성해서 세션쿠키를 내려주지 않는다면, 공격자도 같은 세션쿠키를 사용해서 사용자 정보 페이지등에 접근이 가능하게 되는 위험을 말한다고 생각하면 될까요?