일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | |||
5 | 6 | 7 | 8 | 9 | 10 | 11 |
12 | 13 | 14 | 15 | 16 | 17 | 18 |
19 | 20 | 21 | 22 | 23 | 24 | 25 |
26 | 27 | 28 | 29 | 30 | 31 |
- Pattern
- 함수
- Python
- framework
- mysql
- Analysis
- Deep
- Server
- Web
- centos
- java
- Spring
- ai
- 자바
- db
- SSH
- DeepLearning
- javascript
- data
- interface
- Numpy
- error
- LIST
- Github
- Security
- learning
- Linux
- 인공지능
- mariaDB
- git
- Today
- Total
목록Spring/Security (4)
PostIT
# [Spring/CSRF] CSRF란 무엇인가?? CSRF(Cross site request forgery, 사이트간 요청 위조)란 웹 사이트의 취약점을 이용하여 사용자가 의도하지 않는 요청을 송신하도록 하는 공격의 의미합니다. 이는 http프로토콜의 상태없음(stateless) 특성에 기인한 특정 웹 어플리케이션에 대한 일련의 요청들의 상관관계를 특정할 수 없기 때문에 세션 유지등에 일반적으로 사용되는 쿠키 정보 등이 조건만 만족한다면 자동적으로 송신되기 때문에 가능합니다. 여기서 상관관계를 특정할 수 없다는 의미는 예를 들어 카트화면 -> 주문정보 입력 -> 주문완료로 이어지는 주문 프로세스를 가진 웹 어플리케이션에서 각각의 페이지에대한 요청이 연속적으로 이어지는지에 대한 제어를 할 수 없다는 것을..
https://okky.kr/article/382738 # 초보자가 이해하는 Spring Security (좋은 글)저의 스프링 시큐리티 관련 예제는 깃허브 에서 제공합니다. (주석이 포함된 프로젝트는 주석이 너무 지저분하여 제외...)1. 스프링 시큐리티란 무엇인가?스프링 시큐리티를 이해하기 위해서 스프링 시큐리티가 무엇인지를 알아야합니다. 스프링 시큐리티 레퍼런스에서는 자바 EE 기반의 엔터프라이즈 소프트웨어 애플리케이션을 위한 포괄적인 보안 서비스들을 제공하고 오픈 플랫폼이면서 자신만의 인증 매커니즘을 간단하게 만들 수 있다고 자랑(?)하고 있습니다.하지만, 신입 개발자들 수준에서 스프링 시큐리티와 같은 보안 기술을 이해하기란 참 힘든 과정이라고 생각합니다.저만 이해하기 힘들 수 있어요 ㅠㅠ스프링 ..
구글 reCaptcha 2.0을 도입해야하는데, 스프링 필터에 대해서 알아야 할 것 같다. Spring security에서 Filter를 사용하여 정보값을 인증하기에,이 필터내에 있는 부분을 수정해서 reCaptcha값을 인증해야하는 것 같다. 추후, 구현후에 내용을 올려봐야 할 것 같다. http://docs.spring.io/spring/docs/current/javadoc-api/org/springframework/web/filter/package-summary.html
http://niees.tistory.com/17spring security에서는 (내부 정책에 따라 다르겠지만)중복로그인 방지를 위한 방안을 마련해 두었다. 1.web.xml에 listener등록 (이 부분은 지정을 해야한다는 예제가 많았는데 테스트 해보니 3.1.0.RELEASE 에서는 등록 하지 않아도 상관이 없었다 자세한 내막은 나도 모름)?123 org.springframework.security.web.session.HttpSessionEventPublisher 2.security-context.xml에 세션 제한 지정에?123 invalid-session-url : 세션이 끊겼을때 이동 할 페이지max-sessions="1" : 최대 허용 가능 세션 수expired-url="/user/l..