728x90 java112 (시큐어코딩) Spring Security 기반의 JWT 통합 전략 1. 서론JWT(Json Web Token)는 세션 기반 인증을 대체할 수 있는 토큰 기반 인증 방식으로,마이크로서비스, 모바일 API, 무상태(Stateless) 아키텍처에서 널리 사용됩니다.Spring Security는 기본적으로 세션 기반 인증을 지원하지만,JWT 통합을 통해 완전한 Stateless 인증 체계로 전환할 수 있으며,이 과정에서 인증, 권한 관리, 토큰 검증을 유기적으로 연결하는 전략이 필요합니다.2. JWT 인증 흐름 개요1️⃣ 로그인 요청사용자가 아이디/비밀번호로 로그인하면 서버는 인증 후 Access Token (JWT) 과 Refresh Token을 발급합니다.2️⃣ 클라이언트 요청이후 사용자는 HTTP 요청 시 Authorization: Bearer {AccessToken} .. 2025. 4. 3. (시큐어코딩) Java에서 CSRF(크로스 사이트 요청 위조) 보안취약점 공격 방어 전략 크로스 사이트 요청 위조(CSRF, Cross-Site Request Forgery)는 사용자가 인증된 세션을 유지하고 있는 동안 공격자가 악의적인 요청을 보내어 의도치 않은 행동을 수행하게 만드는 공격입니다. 예를 들어, 사용자가 은행 웹사이트에 로그인한 상태에서 악성 웹페이지를 방문하면 공격자가 피해자의 계좌에서 돈을 이체하도록 요청할 수도 있습니다. CSRF 공격은 특히 상태 유지 방식(Stateful)의 웹 애플리케이션에서 치명적이며, 보안 조치가 취해지지 않으면 사용자 데이터가 위조 요청에 의해 조작될 수 있습니다. 이 글에서는 자바 11 환경에서 CSRF 공격을 방어하는 전략을 상세히 설명하며, 취약한 코드와 안전한 코드 예제를 비교하여 보안성을 높이는 방법을 소개합니다.2. CSRF 공격의 .. 2025. 3. 18. 이전 1 다음 728x90
