개발블로그

이 포스트에서는 Spring-security Authentication의 구조적 흐름을 살펴보고 Authentication/Authorization 기능을 구현하겠습니다. [1] Spring-security Authentication Structure Spring-security는 많은 Filter의 chain으로 구성되어 있습니다. 따라서 요청이 오면 Authentication/Authorization을 위해 일련의 Filter를 거치게 됩니다. 사용자 인증 요청시에는 인증 모델을 기반으로 적합한 Filter를 찾을 때까지 Filter chain을 통과합니다. 이 포스트에서 사용한 로그인 양식 인증 요청은 UsernamePasswordAuthenticationFilter에 도달할 때까지 Filter c..

대부분의 웹 어플리케이션은 Authentication(인증)/Authorization(권한) 기능을 구현하고 있습니다. 인증된 사용자 정보를 저장하기 위해 Session 혹은 JWT(JSON Web Token)를 이용할 수 있는데, 이 포스트에서는 Session에 저장한다고 가정하겠습니다. A/A기능을 구현하기 위해서 Spring-security가 정교화되기 전까지는 직접 Session에 접근하여 조작했습니다. Spring-security도 Session을 이용하지만 out-of-box로 구현되어 있어, 정형화된 API를 이용해 A/A를 구현할 수 있습니다. 뿐만 아니라 보안적인 이슈까지도 처리할 수 있습니다. 이 포스트와 다음 포스트에서는 Spring-security를 미사용/사용하여 그 둘의 구조를 ..

이 글에서 알 수 있는 내용 -Tomcat은 WAS? No! Just Servlet Container! -HttpSession은 언제 만들어질까? -HttpSession을 사용하는 방법 -Session은 어떻게 유지될까? [Tomcat은 WAS? No! Just Servlet Container!] JAVAEE는 엔터프라이즈 어플리케이션을 위해 만든 표준이고, 수많은 클래스/인터페이스로 정의되어 있습니다. JAVAEE 6.0의 스펙을 보면, Web Services, Web Application, Enterprise Application, Management and Security 기술들을 정의하고 있습니다. 그리고 이 스펙을 모두 구현한 모델을 WAS라고 칭합니다. 우리가 흔히 WAS로 알고 있는 tomc..