BasicAuthenticationFilter 따로 로그인이라는 과정을 하지 않았는데도 일회성으로 페이지를 불러올 수 있다. 로그인 데이터를 Base64로 인코딩해서 모든 요청에 포함해서 보내면 BasicAuthenticationFilter는 이걸 인증한다. 세션이 필요 없고 요청이 올때마다 인증이 이루어 집니다. (즉 stateless합니다.) 이런 방식은 요청할 때마다 아이디와 비밀번호가 반복해서 노출되기 때문에 보안에 취약 BasicAuthenticationFilter를 사용할 때는 반드시 https를 사용하도록 권장됨 BasicAuthenticationFilter를 사용하지 않을 것이라면 명시적으로 disable시켜주는 것이 좋다 @Override protected void configure(Ht..
Spring Security 란 인증과 인가라는 개념을 최대한 쉽고 유연하게 구현할 수 있도록 만들어진 Framework Spring을 사용한다면 사실상 최선의 Security Framework Web 기반 Application에 보안적인 제한을 추가하기 위해 사용하는 Security Framework 중에 하나 Rest API endpoint, mvc url, 정적 리소스와같은 리소스들에 접근하려는 요청의 인증을 책임지는 것. Spring 생태계와 호환성이 높고 커스텀이 매우 쉽다. 인증 사용자가 누구인지 확인하는 절차. 즉, "당신은 누구입니까?"를 확인 여기서 문제점이 발생한다. 이후에 유저가 UserA라는 것을 어떻게 증명할 수 있을까? 방법 1 : 모든 요청마다 나의 ID와 패스워드를 포함시켜서..
