ACL 환경 설정 과정에서 간단히 보고 넘어간 고급 주제들은 ACE 퍼미션과 ACL에 대한 특정 타입의 변화가 허용되는지 여부를 결정할 때 ACL 환경을 지원해 주는 GrantedAuthority의 사용과 관련한 내용들이다. 이제 환경이 비로소 동작하게 되었으므로 이러한 고급 주제에 대해 상세히 살펴본다. 1. 퍼미션의 동작 원리와 비트마스크(Bitmask) 먼저 퍼미션의 동작 원리를 이해해야 한다. 퍼미션은 정수로 표현되는 간단한 논리적 … 더 읽기
도메인 객체의 인스턴스 레벨에서 풍부한 권한 부여를 가능하게 해 주는 접근 제어 목록(Access Control List, ACL)이라는 복잡한 주제에 대해 다루어 본다. 스프링 시큐리티는 중소 규모에 달하는 구현 시스템의 요구사항을 상당 부분 충족시킬 수 있는 접근 제어 목록 모듈을 제공하는데, 이 모듈은 강력한 기능에 비해 복잡하고 문서화가 부족하다는 단점이 있다. 1. 비즈니스 객체 보안과 ACL의 목적 … 더 읽기
지금까지 살펴본 설정 내용으로 인해 머리가 아프지 않기를 바란다. 많은 개발자가 일반적으로 프로젝트에서 어떤 방식의 설정을 택하는 것이 좋을지 궁금해할 것이다. 이 문제에 대한 해답은 프로젝트의 복잡도와 스프링 시큐리티 스택의 기본 엘리먼트를 어느 정도 수준까지 직접 제어해야 하는지에 달려 있다. 1. 프로젝트에 적합한 설정 방식의 선택 보통의 경우 보안 네임스페이스를 사용하는 것이 권장된다. 일반적인 웹 … 더 읽기
스프링 시큐리티는 단순한 인증과 권한 부여를 넘어, 세션의 생명주기를 관리하고 보안상 발생할 수 있는 다양한 예외 상황에 유연하게 대응할 수 있는 강력한 기능을 제공한다. 이번 글에서는 동시 세션 제어와 세션 트래킹, 그리고 체계적인 예외 처리 설정에 대해 살펴본다. 1. 동시 세션 제어를 통한 보안 강화 사용자가 인증된 후에도 세션 정보를 유지해야 하는 웹 사이트에서 보안을 … 더 읽기
지금까지 우리는 스프링 시큐리티의 기본적인 컴포넌트 아키텍처와 사용법을 살펴보았다. 이제는 보완된 웹 애플리케이션으로 거듭나기 위한 과정을 거쳐 어떠한 어려운 과제를 만나더라도 해결할 수 있는 준비를 갖추어야 한다. 이번 장에서는 커스텀 보안 필터 구현부터 세션 고정 보호와 같은 해커 대비책의 이해까지 폭넓은 고급 주제들을 다루어 본다. 1. 서블릿 필터 수준에서의 IP 필터링 구현 보안 애플리케이션에서 특정 … 더 읽기
스프링 시큐리티를 이용한 메서드 수준의 보안은 애플리케이션의 비즈니스 로직을 보호하는 핵심적인 방법이다. 단순히 URL 기반의 접근 제어를 넘어, 실제 서비스 레이어의 메서드가 호출되는 시점에 권한을 검사함으로써 보다 세밀하고 강력한 보안 체계를 구축할 수 있다. 1. 메서드 보안의 동작 원리: AOP와 프록시 스프링 시큐리티는 메서드 호출에 대한 권한 결정을 내리기 위해 표준 스프링 AOP(Aspect Oriented Programming) … 더 읽기
웹 애플리케이션의 보안을 설계할 때는 단순히 로그인 여부를 확인하는 수준을 넘어, 사용자의 권한이나 요청 컨텍스트에 따라 페이지 내의 특정 요소들을 세밀하게 제어해야 할 때가 있다. 이번 장에서는 애플리케이션 페이지 영역에 영향을 미치는 미세 권한 부여 기능을 구현하는 두 가지 주요 방법과 비즈니스 티어에서의 보안 적용법을 살펴본다. 1. 미세 접근 제어(Fine-Grained Access Control)의 개념 미세 접근 … 더 읽기
사용자의 편의를 돕는 remember-me 기능은 세션이 만료된 후에도 애플리케이션이 사용자를 기억하게 해주지만, 단순히 쿠키에 기반한 방식은 보안상 취약할 수 있다. 이를 보완하기 위해 토큰을 데이터베이스에 저장하는 방식으로 이전할 수 있다. 이 방식은 사용자가 사이트와 상호작용하고 인증을 받을 때마다 고유한 시리즈(series)와 토큰 조합을 생성하여 사용한다. 시리즈는 고유하게 유지되지만 토큰은 매 세션마다 갱신되므로, 공격자가 탈취한 토큰을 사용하더라도 … 더 읽기
보안 감사자가 데이터베이스에 저장된 인코딩된 비밀번호를 확인했을 때, 서로 다른 사용자가 같은 해시 값을 가지고 있다면 이는 심각한 보안 결함으로 이어질 수 있다. 비록 암호화 알고리즘을 사용하더라도 동일한 입력값에 대해 항상 동일한 결과가 나온다면, 공격자는 무지개 테이블(rainbow table)과 같은 기법을 통해 원래의 비밀번호를 유추해낼 수 있기 때문이다. 이러한 문제를 해결하기 위해 도입하는 개념이 바로 솔트이다. … 더 읽기
지금까지 우리는 커스텀 로그인 페이지나 비밀번호 변경 기능, 그리고 Remember-Me와 같은 사용자 친화적인 기능들을 살펴보았다. 이번에는 여기서 한 단계 더 나아가, 기존의 인 메모리 저장소 방식에서 탈피하여 데이터베이스를 기반으로 인증을 처리하는 방법을 알아본다. 1. 데이터베이스 인증 저장소 설정의 필요성 인 메모리 방식은 구현이 간편하지만, 서버를 재가동할 때마다 저장된 사용자 정보가 사라진다는 치명적인 단점이 있다. 실제 … 더 읽기