이수홍

Spring Boot로 만드는 OAuth2 시스템 9 - OAuth2 시스템에서 Scope를 이용한 API 권한 제어

2022-09-12T19:40:26Z

이전 챕터에서는 클라이언트 정보를 관리하는 부분을 확인해보았다. 이번에는 scope를 구체적으로 관리하는 방법을 알아보자. 먼저 scope는 앞서서도 잠깐 살펴보았지만 클라이언트가 API에 접속할 수 권한의 범위를 제한할 때 이용한다. 페이스북의 예를 들어 보자면 서드파티 클라이언트(페이스북 용어는 앱이다.)를 통해서 페이스북에 접속하게 되면 위와 같이 클

Spring Boot로 만드는 OAuth2 시스템 8 - OAuth2 서버를 커스터마이징 해보자(클라이언트 관리 편)

2022-12-10T19:40:10Z

이제 까지 TokenStore를 제외하고 최소한의 설정만 하는 형태를 구현해 보았다. 하지만 실제 서비스에서 사용하기 위해서는 여러 가지 확장 형태를 고려해야 한다. 그중 클라이언트 관리하는 부분에 대해서 알아보자. 앞선 챕터에서 설명한 형태로 구현했을 때에는 모든 권한을 가지고 있는 클라이언트를 하나만 사용한다고 가정하고 테스트했었다. ( foo:bar

스프링 시큐리티 이해 2 - Authentication의 이해

2023-12-06T19:40:10Z

이전 포스팅에서는 스프링 시큐리티의 간단한 소개와 Session으로 인증받는 형태와 시큐리티의 차이점에 대해서 이야기해보았다. SecuriyContext에 대해서 이야기하다가 끝냈는데 여기서는 Authentication에 대해서 한번 알아보자. SecurityContext는 앞에서도 이야기했지만 말 그대로 인증 정보를 담는 객체일 뿐이었다. 그리고 Auth

스프링 시큐리티 이해 - 기본

2023-05-30T19:40:01Z

최근 자바와 스프링으로 많은 웹 애플리케이션을 만들어지고 있다. 그리고 웹 애플리케이션은 보안이 중요하다는 것은 누구나 이해하면서도 공감하고 있다. 이번 포스팅에서는 자바의 보안과 관련된 프레임워크 중 스프링 시큐리티 프레임워크의 원리에 대해서 설명해보려고 한다. 먼저 기존 서블릿에서 인증과 권한이 어떻게 이루어졌는지 간단히 한번 살펴보겠다. 단순한 기존

스프링 부트 예외 1 - 스프링 부트 예외의 기본

2017-10-25T05:10:40Z

스프링 부트를 사용하다가 예외를 커스터마이징 하려고 할 때 기존 스프링을 사용하는 사람 조차 당황할 때가 있다. 기존 스프링 MVC에서 예외 처리랑 조금 다르기 때문이다. 물론 기본적으로 제공하고 있는 속성을 사용하면 어느 정도 쉽게 사용 가능하다. 예외 관련 설정하는 방법으로는 몇가지가 있는데 한번 살펴보자. 1. 환경변수로만 설정하는 방법 # appl

Spring Boot로 만드는 OAuth2 시스템 7 - JWT 방식으로 바꿔 보자

2023-12-06T19:40:10Z

이전 포스팅에서 OAuth2 기본 Access Token을 사용해서 사용해서 교환하여 인증받는 방식을 이야기하였다. 이렇게 하는 방식에는 단점이 존재한다. Access Token만 교환하기 때문에 그 다시 토큰을 가지고 인증 정보를 조회하기 위해 OAuth2 서버로 다시 요청하여 인증된 정보를 얻어오는 오버헤드가 생기게 된다. 참고로 이야기하자면 API 서

Spring Boot로 만드는 OAuth2 시스템 6 - API 서버와 OAuth2 서버를 분리

2023-08-27T19:40:22Z

앞서 포스팅 작성한 예제까지는 API 서버와 OAuth2 서버가 하나의 웹 애플리케이션에서 같이 올라가는 형태를 취하고 있다. 예제 자체를 심플하게 유지하려는 목적과 이렇게 개발도 가능하다는 것을 보여주기 위한 것이었다. 하지만 실제 서비스를 하기 위해서는 각각 다른 인스턴스 형태로 서비스를 해야 한다. 이전 포스팅에도 언급했지만 보통 API 서버 같은

Spring Boot로 만드는 OAuth2 시스템 5 - OAuth2 서버를 커스터마이징 해보자 (TokenStore 편)

2023-05-16T02:09:17Z

앞서 포스팅에서는 최소한의 코드로 OAuth2 서버를 만들어보았다. 사실 설명은 길었으나 정작 코드가 얼마 없는 것을 보고 많이 실망했을 수도 있겠다. 당연히 테스트 형태로 사용할 수는 있어도 실제로 서버로 사용하기에는 많이 부족한 형태이다. 실제로 사용하기 부족한 이유를 한번 살펴보자. 1. 기본적으로 설정하지 않으면 인증, 권한, 토큰, 권한 코드, 클

Spring Boot로 만드는 OAuth2 시스템 4 - 간단한 OAuth2 서버 만들어 보기

2023-06-06T15:35:00Z

이번 포스팅부터 본격적으로 OAuth2 서버를 만들어 보겠다. 간단한 세팅을 시작으로 하나하나 점증적으로 확장하는 형태로 진행할 예정이다. (샘플 소스: https://github.com/sbcoba/spring-boot-oauth2-sample/tree/master) Client ID 계정 생성 먼저 기본적인 OAuth2 서버에서 가지는 Client

Spring Boot로 만드는 OAuth2 시스템 3 - API 서버 만들기

2023-04-01T19:40:03Z

API 서버 만들기 OAuth2 인증을 받기 위한 API 서버를 간단하게 만들어보겠다. API 서버 자체는 OAuth2 독립된 시스템이다. 단지 API에 접근하기 위하여 인증과 권한이 필요할 때 OAuth2를 사용하여 인증을 받을 것이다. ( 물론 OAuth2 이외에도 다른 인증시스템이 있다. ) 먼저 사전에 사용될 소스를 살펴보자. API에서 사용될

Spring Boot로 만드는 OAuth2 시스템 2 - 본격적인 개발 하기전에

2023-02-22T19:40:03Z

Simple is Best Spring Boot(이하 스프링 부트)는 이 문장과 가장 적합한 형태가 아닐까 생각된다. (사실은 보이는 부분만 간단하다.) 그 문장이 맞게 간단하게 스프링 부트로 OAuth2 서버를 만들 준비를 해보자. (사실 소스 보다 설명이 더 많이 차지할 것 같다. 정작 완성되어 있는 형태에서는 소스는 얼마 없을 것이다.) 시작하기 전

Spring Boot로 만드는 OAuth2 시스템 1 - 스프링 부트와 OAuth2

2023-10-25T19:40:11Z

최근에 웹 또는 앱을 개발하게 되면 가장 많이 접하는 인증 형태가 바로 OAuth2 형태이다. 소위 말하는 페이스북 인증, 구글 인증, 다음 인증, 네이버 인증 등은 대부분 OAuth2 인증을 지원한다. 사실 개발자들은 클라이언트 형태로 위와 같은 인증서비스를 사용해서 자신의 시스템과 연동을 사용한 형태는 많이 접해 보았을 것이다. 하지만 OAuth2 인증