https://www.dogdrip.net/490375987
이거때문에 뭐가문젠지 이것저것 찾아봤는데 결론은 걍 공식문서 갖다쓰면 된다 임 ㅋㅋㅋ
내가 햇깔려했던 이유가 각종 블로그나 강의에 올라와있는 security oauth2 userinfoEndpoint 설정이랑 security 레퍼런스 문서랑 다른게 문제였음
security 버전 올라가면서 CustomUserType 설정하는게 Deprecated됀거 같더라 내가 문서버전이랑 의존성 버전을 security 6.1.1로 하고있거든.
문서엔 없는데 블로그나 동영상엔 있으니까 시발 왜 다르지 하면서 강의걸 따라할 생각을 왜 안했나 몰라 시이발 ㅋㅋ
암튼 공식문서에 있는거 갖다쓰고 구현부에다가 유저정보를 db에 넣는 작업을 하면 될거같다.
다음은 헤더나 쿠키로 accessToken 넣는 방법을 좀 찾아봐야겠음
7개의 댓글
무분별한 사용은 차단될 수 있습니다.
인증왕
뭐할라 카는데? 엑세스토큰을 넣는 방법을 찾는다 하는디
저소음흑축써주세요제발
프론트 서버와 백엔드 REST 서버가 분리되어 있고 로그인은 구글 Oauth2.0을 사용하고 로그인이 끝나면 프론트에 구글꺼 말고 직접 생성한 accessToken을 저장하게 해서 세션관리를 해보고 싶음
이때 로그인은 백엔드의 스프링 시큐리티 oauth2login 기능을 쓰려고 하는 중.
인증왕
구글에서 token 던져주는데 왜 너가 만들어..?
저소음흑축써주세요제발
구글 엑세스 토큰 탈취당하면 다른 구글 api 인증에 쓰인다거나 그럴 수 있으니까? ㅋㅋㅋ
어짜피 만든다고 해봤자 토큰 엔드포인트 구간에서 토큰 내용물만 교체하는거라 어려운것도 없지않나?
년째백수지망생
보안의 첫 번째는 의심인데 괜찮은 아이디어인듯!
천연기념물323호
토큰은 헤더에 실어서 던지는 거라서 요청을 가로채서 열면 그냥 볼 수 있고
직접 만들던 구글이 만든걸 쓰던 간에 차이없음 걍 OTP 생성기에 나오는 숫자랑 똑같음
오히려 직접 만들면 받아은 토큰과 요청에 대한 유효성 검사까지 본인이 해야 하는데
그 로직이 완벽할까 OAuth2 provider들이 잘 만들어 놨을까 생각해보면 답은 뻔하지
OAuth2를 쓸 때 보호해야할건 토큰을 받아올 때 사용하는 OAuth App에 대한 ID/PW고
그 ID/PW가 털려도 엔드포인트 싹 여는게 아니라 OAuth App에서 URI를 일일히 여는 식이라
토큰이 탈취되었다 해서 설정하지 않은 REST API까지 호출 가능하고 그러지는 않음
본질적으로 Layer7에 OTP 생성기 넣어놓은 단순 인증절차라 실질적인 보안이랑은 거의 무관계함
실제 Private API라 하면 네트워크 상에서 특정 VPC 통하지 않으면 서브넷 자체에 접근이 안되게 막음
저소음흑축써주세요제발
내가 작성한 유효성 검사가 완벽하진 않겠지만 내가 그 로직을 전부 구현하는게 아니라 시큐리티에서 제공하는 jwt 유효성 검사 스프링 필터가 있으면 그걸 커스텀해서 쓸거라서 큰 신경을 안쓰고 있었음
또 유효성검사라 해봤자 jwt 헤더랑 페이로드의 raw데이터와 내가 가진 ras키로 만든 해시데이터하고 jwt의 시그니처를 비교하는 것 말곤 없지 않음?? 키관리 쪽으로 말하는거라면 구글이 더 잘할거란건 알고있지 ㅋㅋㅋㅋㅋ