1.스프링 시큐리티 개념과 장점
https://spring.io/projects/spring-security
스프링 시큐리티란? 스프링 애플리케이션 보안을 적용하는 과정을 크게 간소화하는 프레임워크
특징
인증 및 권한 부여에 대한 포괄적이고 확장 가능한 지원
세션 고정, 클릭재킹, 교차 사이트 요청 위조 등과 같은 공격으로부터 보호
서블릿 API 통합
Spring Web MVC와의 선택적 통합
아파치 2.0라이센스에 따라 릴리스
GitHub - spring-projects/spring-security: Spring Security
https://github.com/spring-projects/spring-security
여기서 기여 가능
실제로 enhancement로 기여 한번 해봄
https://github.com/spring-projects/spring-security/issues/13299
스프링 시큐리티 -> 어노테이션과 빈의 형태
어노테이션?
스프링 시큐리티 -> 최상층에서 보안을 구현하는 프레임워크
아래는 owasp에서 권고하는 10가지 보안규칙
https://owasp.org/www-project-top-ten/
인증이란 어플리케이션이 이용자를 식별하는 프로세스
권한부여? 인증된 호출자가 특정 기능과 데이터에 대한 이용 권리 확인
단순한 인증(사이트 접속허용)뿐만 아니라 데이터에 대한 권한 부여 체크 필요
세션 고정 취약점은 세션 id생성시에 고유한 값이 아닐 경우 문제.
기존 세션 id를 재사용할 때 문제 발생
https://velog.io/@seongwon97/Spring-Security-%EC%84%B8%EC%85%98-%EA%B4%80%EB%A6%AC
세션고정 같은 경우에는 스프링3.0에서 디폴트로 설정이 안되어 있기 때문에
문제가 발생될 소지 있음.
'IT' 카테고리의 다른 글
| 스프링시큐리티인액션 챕터3 정리 (0) | 2023.06.20 |
|---|---|
| spring security chatper2 (0) | 2023.06.18 |
| net::ERR_UPLOAD_FILE_CHANGED in Chrome (0) | 2022.11.28 |
| ERROR: for docker_echo_1 An HTTP request took too long to complete. Retry with --verbose to obtain debug information. (0) | 2022.11.25 |
| jenkins docker-compose.yml 파일 (0) | 2022.11.24 |