본문 바로가기

WEB/Spring

 (25)
Spring security6와 CSRF 사이드 프로젝트 개발 도중 .. Ajax로 Delete 요청을 하는데 자꾸 access-denied가 떴다 처음에는 admin, user 권한 때문인줄 알았지만 Spring Security에서 CSRF 공격 방지를 하기 위한 설정 때문이었다.  CSRF란?사이트 간 요청 위조(cross site request forgery)라는 뜻의 웹사이트 취약점 공격의 하나로, 사용자 자신의 의지와는 무관하게 공격자가 의도한 행위를 특정웹사이트에 요청하게하는 공격이다  Spring Security와 CSRFSpring Security는 기본적으로 CSRF 공격을 방지하기 위해 CSRF 토큰을 사용한다. 해당 프레임워크를 사용할때 form 태그에 내가 추가하지 않은 값이 들어 있는 경우있다.바로 아래 사진의 input..
메세지, 국제화 인코딩 오류 spring 국제화 적용을 할 때 인코딩 등 다양한 문제로 사진과 같은 에러를 경험한 적이 있을 것이다. 인터넷을 샅샅이 뒤져가며 IntelliJ의 이곳저곳에 encoding 적용을 해도 해결이 안될 경우 !  src/main/resources에서 messages.properties 파일이 있는지 확인해보자!!!! ...ㅎ ㅎ 본인의 경우 messages_en.properties, messages_ko.properties  만 추가하니까 맨 위 사진과 똑같은 에러가 생겼다 messages.properties 를 추가하니까 간단하게 해결됨! spring에서 기본적으로 messages.propeties 파일을 자동으로 로드하고 추가로 로케일에 맞는 파일을 로드하기 때문이라고 한다. 🤣
Enum과 Thymeleaf Enum 클래스 정의Enum의 상수를 이용해서 메세지, 국제화를 적용 시켜보기국제화의 기본 설정은 이미 다 되었다고 가정 Lunph.javapublic enum LunPh { NEW_MOON(0, "달이 태양과 같은 방향에 있어 보이지 않음", "🌑"), WAXING_CRESCENT(1, 6, "오른쪽에서부터 달이 보이기 시작함", "🌒"), FIRST_QUARTER(7, "달의 오른쪽 절반이 밝음", "🌓"), WAXING_GIBBOUS(8, 13, "오른쪽 절반 이상이 밝음", "🌔"), FULL_MOON(14, "달이 완전히 밝음", "🌕"), WANING_GIBBOUS(15, 20, "왼쪽에서부터 달이 점점 어두워짐", "🌖"), LAST_QU..
Spring security에서 static resources 파일 적용 Spring Security란? 회원가입과 로그인을 도와주는 스프링 기반 웹 애플리케이션의 인증과 권한을 담당하는 스프링의 하위 프레임워크  @EnableWebSecurity모든 요청 url이 스프링 시큐리티 제어를 받도록 만드는 애너테이션 SecurityConfig@Configuration@EnableWebSecuritypublic class SecurityConfig { @Bean SecurityFilterChain filterChain(HttpSecurity httpSecurity)throws Exception{ httpSecurity.authorizeHttpRequests( (authorizeHttpRequests)-> authorizeHttpRe..
valid와 validation @Valid JSR-303 표준 스펙으로 Bean Validatior(빈 검증기)를 이용해 객체의 제약조건을 검증하도록 지시하는 어노테이션기본적으로 컨트롤러에서만 동작  LocalValidatorFactoryBean//validation implementation 'org.springframework.boot:spring-boot-starter-validation' spring에서는 LocalValidatorFactoryBean가 제약 조건 검증을 처리함위의 validation 의존성을 추가하면 해당 기능들이 자동 설정됨 ArgumentResolver 스프링에선 ArgumentResolver가 클라이언트가 보낸 요청 데이터를 적절한 형식으로 변환하여 컨트롤러 메서드의 매개변수에 주입해줌 @RequestB..
Entity와 DTO DTO는 사용자 인터페이스와 상호작용하여 사용자 입력에 대한 유효성 검증을 중점으로 진행 Entity는 데이터 베이스와 상호작용하며 데이터베이스의 무결성 비지니스 로직의 일과성을 유지하는데 중점
DAO/DTO DAO(Data Access Object)는 DB와 상호작용하여 사용자 정보를 가져옴DTO(Data Transfer Object)는 계층간 데이터 전송을 위한 객체로 사용 DB접근과 데이터 전송 로직을 명확하게 분리하기 위함 간단예시DAO dao=new Dao;User user=dao.findById(1);DTO dto=new DTO(user);
get,post,update,delete 1. get 메서드 구현 1-1 매개변수 없는 GET @GetMapping(value="/") public String getName(){ return "Name"; } 1-2 PathVariable GET @GetMapping(value="/{id}") public String getId(@PathVariable("id") Integer num){ return num; } 1-3 RequestParm GET @GetMapping(value="/") public String getParam(@RequestParam String name){ return name; } //쿼리 파라미터에 어떤 값이 들어올지 모를때 @GetMapping(value="/") public String getMap(@Request..
UserDetailsService 스프링 시큐리티가 제공하는 UserDetailsService 인터페이스는 로그인 loadUserByUsername 메서드는 매개변 username으로 스프링 시큐리티의 사용자 객체를 조회하고 반환하는 메서드 @RequiredArgsConstructor @Service public class UserSecurityService implements UserDetailsService { private final UserRepository userRepository; @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { Optional _siteUser=this.userRepository..
BCryptPasswordEncoder(비크립트패스워드인코더) 회원 가입 기능 구현을 위해 password를 암호화 하는 것이 좋다. 이때 Spring Security의 BcryptPasswordEncoder 클래스를 이용할 수 있다 BcryptPasswordEncoder는 Bcrypt 해시 함수를 사용하는 암호화 기술이다. BCryptPasswordEncoder passwordEncoder=new BCryptPasswordEncoder(); user.setPassword(passwordEncoder.encode(password)); 이렇게 BCryptPasswordEncoder 객체를 직접 생성하는 것도 좋으나 이래처럼 이 객체를 빈으로 등록하여 사용하는 것이 유지보수면에서 좋다(암호화 방식을 변경하면 일일히 수정해주어야하기때문!) PasswordEncoder는 ..

티스토리툴바