시냅스

Session vs JWT 현재 프로젝트에서는 Redis Session Clustering 을 사용하고 있습니다. 사용자 정보에 대해 JWT 대신 Session 을 사용하기로 하였고 이유는 다음과 같습니다. JWT 를 사용하려는 이유는 세션에서 감당하는 부하를 줄이기 위함이다. (혹은 Stateless 하게 유지하기 위해) 다만, JWT 는 header, payload, signature 로 이루어진 구조로 모든 정보들을 노출시키고 있다. (HTTPS 를 사용한다고 하더라도...) 또한 대칭키를 알고 있고 토큰이 탈취당한 상황이라면 너무나도 쉽게 보안에 취약해진다. 이러한 문제를 최소화시키기 위해 Refresh Token 을 사용한다. Access Token, Refresh Token 쌍으로 Access..

Spring Security가 framework로 하는 일 ServletContext 내부로 가지 않고 Filter 수준에서 보안을 설정한다. 어플리케이션의 모든 상호작용에 사용자 인증 요구 디폴트 로그인 폼 생성 user 라는 이름과 콘솔에 출력한 비밀번호를 사용한 폼 기반 인증 지원 BCrypt로 저장할 비밀번호 보호 사용자 로그아웃 지원 CSRF 공격 방어 Session Fixation 방어 보안 헤더 통합 HTTP Strict Transport Security로 요청을 보호 X-Content-Type-Options 통합 Cache Control (어플리케이션에서 특정 스태틱 리소스에 캐시를 허용하도록 재정의할 수 있다.) X-XSS-Protection 통합 X-Frame-Options 통합으로 클..