사용자 인증 1. in-memory 사용자 인증(메모리상에 사용자 등록) 2. UserDetails구현체를 통해 db에서 인증하기 → 이번에 다룰 부분 Service, DAO 빈관리용 context:component-scan도 적어주기 > Namespace > context 체크 관리자만 이용가능한 페이지 만들기 > admin 컨트롤러 생성 void로 만들어도 viewName설정이 없다면, 요청 url에서 가져옴( /WEB-INF/views/admin/adminList.jsp) > jsp(view단)생성 > security-context.xml에 intercept-url 추가해주기!! 이제 memberLogin이 아닌 security로 로그인정보 접근해야 함 가져올때는 이런식으로 가져옴 principal..

sql에 권한테이블 생성해서 권한주기 > 멤버vo가 security에서 요구하는 필드를 처리할 수 있도록 UserDetails 구현체로 바꿔주기 (그래야 security에서 사용가능) security에서는 UserDetails을 통해서 회원 객체에 접근 가능 > 필드 추가하기(username, password, enabled(활성화여부), List authorities이런 권한 목록 필드 필요(list인 이유는 권한은 1개 이상이니까)) => 이제 멤버의 준비는 끝! security에 전달해서 사용 가능! 스프링 시큐리티가 db에 갔다 올 수 있는 service와 dao만들기(memberId를 가지고 db에 갔다 올 목적!) spring security관련 security.model 패키지 새로 만들기 ..

로그인 페이지 커스터마이징 security-context.xml form-login작성 login-processing-url : 로그인폼 제출 url. 핸들러메소드 필요 없음. logout-url : 로그아웃 처리 url. 핸들러메소드 필요 없음. 왜냐면 시큐리티에서 제공한 모듈로 넘어가니까 xss공격등에 대비해 중요한 요청에는 csrf속성값을 주고받음 모든 POST요청에 csrf 토큰값 인증 사용 기본값 csrf 끄기(보안상 취약) memberLoginForm에서 csrf사용하기 추가 form태그를 form:form으로 변경 -> form:form태그는 method="POST"일때 _csrf인증 토큰 발행 해줌(hidden 타입으로 속성값 발행) login, logout을 post방식으로 처리해야만 함..

사용자 요청 url 관련 설정 intercept-url : 위에는 특별한 설정, 아래는 일반적인 설정을 배치(위에서부터 아래로 검사) auto-config="true" 자질구레한 configuration설정 기본값으로 처리해줌 모든 요청 url에 대해서 USER라는 권한이 있는 사람만 접근가능 사용자 인증 password-encoder 인증에 어떤 인코더 쓸지 설정 1. in-memory 사용자 인증(메모리상에 사용자 등록) → 이번에 다룰 부분 2. UserDetails구현체를 통해 db에서 인증하기 header.jsp 로그인하지 않은 상태라면 이 부분을 보여줘라 로그인(인증)되었다면 이 부분 보여줘라 인증정보에 접근하는 태그 : authentication, principal authentication..

https://spring.io/projects/spring-security Spring Security Spring Security is a framework that focuses on providing both authentication and authorization to Java applications. Like all Spring projects, the real power of Spring Security is found in how easily it can be extended to meet custom requirements spring.io 인증 authentication 내가 그 사용자 맞다고 증명하는 행위 권한 authorization 사용자는 board/**를 사용할 수 있음, 관..

Spring-Security는 두 가지 기능 제공함 1. 인증 authentication : 정말 이 사용자가 맞는가? 로그인해서 내가 그 사용자임을 증명 2. 권한 authorization : 이 사용자가 이것을 할 수 있는가? 내가 이 페이지를 조회할 권한이 있는가 인증 authentication ex> 비밀번호 암호화 pom.xml에 dependency 추가하고 key값을 위쪽의 properties에 아래 코드 추가해주기 5.1.5.RELEASE 전역(appication-context.xml)에 설정하여 사용하도록 하기 >#2부분에 param-value추가 : /WEB-INF/spring/security-context.xml spring 설정 파일 만들기 WEB-INF\spring > New > s..