1️⃣ OAuth 2.0이란 무엇인가?OAuth 2.0은 권한 위임(Authorization) 프로토콜이다.즉, 🔐 사용자의 비밀번호를 공유하지 않고 🎫 Access Token 을 이용해 📡 다른 서버의 리소스(API) 에 접근하도록하는 표준이다. OAuth 2.0이 해결하는 문제예를 들어 어떤 사이트에서 이런 버튼을 본적 있을것이다. Google 로그인Kakao 로그인GitHub 로그인 이때 사용자는 아이디/비밀번호를 그 서비스에 직접 입력하지 않고외부 인증 서버가 대신 인증을 해준다. 즉 구조는 이렇게 된다.사용자 → 내 서비스 → Google 로그인 → Google 인증 → 내 서비스 내 서비스는 사용자의 비밀번호를 몰라도Google 이 인증한 사용자라는 것만 확인하면 된다. 👉 이것이 ..

HandlerMethodArgumentResolver 란?컨트롤러 메서드의 파라미터를 직접 해석해서 객체로 만들어주는 확장 포인트 인터페이스다쉽게 말해, Spring MVC 에서 컨트롤러 메서드의 매개변수를 HTTP 요청에서 실제 인자 값으로변환하는 인터페이스이다. DispatcherServlet 이 HandlerMapping 에서 적절한 Mapping URL 을 찾아내고 HanlderAdapter 를 통해적절한 컨트롤러 메서드를 호출한다.여기서 컨트롤러 메서드를 호출하기 전 @RequestParam, @PathVariable, @RequestBody 등의 데이터들을가공하거나 커스터마이징할 때 사용한다. 1️⃣ 왜 필요한가? (사용 이유) @GetMapping("/users")public String ..

1️⃣ HttpSession 이란?Servlet 컨테이너(Tomcat) 가 관리하는 서버 측 세션 객체클라이언트당 1개식별자는 JSESSIONID 쿠키Spring Security 는 필요할 때만 HttpSession 을 사용(기본 설정)보통 Spring Security 인증 성공 후 SecurityContextRepository 를 통해 인증정보를 저장한다. 2️⃣ HttpSession은 언제 생성될까?❌ 자동 생성되지 않는다HttpSession 은 요청이 왔다고 해서 무조건 생성되지 않는다.// HttpServletRequest requestrequest.getSession(false); // 세션 없으면 nullrequest.getSession(); // 없으면 생성 ✅ 생성되는 대표적인 경..

SessionManagementFilter 는 로그인 인증 시점과 인증된 사용자의 재 요청일 경우 실행되는 필터이다. SessionManagementFilter 는 "세션 자체" 를 보고 인증 여부를 판단하지 않고, SecurityContext 안Authentication 인증 객체의 상태를 보고 판단한다. 1️⃣ 핵심 결론 한 줄 요약SessionManagementFilter 가 "인증된 세션인가?" 를 확인하는 방법은SecurityContextHolder.getContext().getAuthentication() 여기서 가져온 Authentication 이👉 null 이 아니고👉 isAuthenticated() == true👉 AnonymousAuthenticationToken 이 아님이면 인증..

ConcurrentSessionFilter 와 SessionManagementFilter 는 세션 기반 보안과 관련 있지만, 역할과 책임이 명확히 다르다. 1️⃣ SessionManagementFilter "이 요청의 세션 상태가 정상적인가?" 를 관리하는 필터이다.SessionManagementFilter 는 사용자 로그인 인증 시점과 인증된 요청 진입 시에 동작한다. SessionManagementFilter 는 사용자가 인증되었을 시점에 SessionAuthenticationStrategy 들을실행시켜준다. Spring Security 6 부터는 기본 설정에서 SessionManagementFilter 가 아닌 각 인증 필터(예: UsernamePasswordAuthenticationFilter)..

Spring Boot 를 사용하는데 운영서버에서 HTML 내용만 수정되어야 하는 상황이 있었다.그러나 운영은 보통 application.yml 이나 application.properties 설정에 spring.thymeleaf.cache 를 true해놓기 때문에 Spring Boot 시작할 때 템플릿 엔진이 캐시하여 가지고 있어서 재기동이 필요했다. ✔ spring.thymeleaf.cache=true 일 때 동작 원리 Spring Boot 가 시작될 때Thymeleaf 는 /templates 안의 HTML 파일을 템플릿으로 컴파일하고 메모리에 캐시해 둔다.여기서 /templates 는 application.yml 에서 설정할 수 있다.=> spring.thymeleaf.prefix=템플릿경로사용자가 ..