본문 바로가기
웹 프로그래밍

Spring Security

by Minius 2018. 6. 11.
반응형

[Spring Security]

Spring Security는 ACEGI 보안으로부터 시작.

 .ACEGI는 강력한 보안 프레임워크의 하나

  = 단점 : 많은 양의 XML 설정 코드가 필요.

 .ACEGI는 스프링 2.0부터 Spring Security로 이름 변경.

  = 보안 설정에 필요한 수백줄의 코드를 간소화 했음.

  

  스프링 3.0에서 Spring Security는 보안 설정을 한번 더 간소화 시켰음.

  

[보안이란?]

Authentication   --->   Authorization

  인 증 권한부여

  

[인증의 종류]

 1. 크리덴셜 (Credential:자격) 기반 인증:

  일반적으로 웹에서 사용하는 대부분의 인증방식은 크리덴셜 기반의 인증방식을 사용한다.

  권한을 부여받기 위해 1차례의 인증과정을 거친 후에 사용자명과 비밀번호를

  입력받는다. DB에 저장된 비밀번호와 일치하는지 확인한다.

 

  *Spring Security는 아이디를 principal, 비밀번호를 credential이라고 부름.

 

 2. 이중인증(Two-factor authentication):

  한번에 두가지 방식으로 인증을 받는 것.

  예를 들면 금융, 은행 웹 어플리케이션을 이용해 온라인 거래를 할 때

  로그인, 보안인증서 2가지 인증을 하는 것.

 

 3. 물리적 인증:

  가장 효과적인 보안 수단. 생체인식(지문, 홍채), 키를 사용.

 

[권한부여 분류]

- 부여된 권한(Granted Authority):

적절한 절차로 사용자가 인증(Authentication)이 되었다면,

권한을 부여(Granted Authority)해야한다.

회원가입등을 통해 반영구적인 권한이 부여되었다면 이렇게 부여된 권한을 어딘가에 저장한다.

- 리소스의 권한(Intercept):

권한이 없는 자들이 원천적으로 리소스에 접근할 수 없도록 방지.

즉, 적절한 권한을 가진자만 해당 자원에 접근할 수 있도록 자원의 외부요청을 원천적으로 가로채는 것.

'웹 프로그래밍' 카테고리의 다른 글

[CSS]여러 개의 버튼을 가운데 정렬하는 방법  (0) 2019.07.04
[JAVA] bean 생성 문제  (0) 2018.06.19
MDB navigation 공백 처리법  (0) 2018.06.04
JSP 문법  (0) 2018.04.24
JSP Scope 영역에 대한 정의  (0) 2018.04.24

댓글