[Spring Security]
Spring Security는 ACEGI 보안으로부터 시작.
.ACEGI는 강력한 보안 프레임워크의 하나
= 단점 : 많은 양의 XML 설정 코드가 필요.
.ACEGI는 스프링 2.0부터 Spring Security로 이름 변경.
= 보안 설정에 필요한 수백줄의 코드를 간소화 했음.
스프링 3.0에서 Spring Security는 보안 설정을 한번 더 간소화 시켰음.
[보안이란?]
Authentication ---> Authorization
인 증 권한부여
[인증의 종류]
1. 크리덴셜 (Credential:자격) 기반 인증:
일반적으로 웹에서 사용하는 대부분의 인증방식은 크리덴셜 기반의 인증방식을 사용한다.
권한을 부여받기 위해 1차례의 인증과정을 거친 후에 사용자명과 비밀번호를
입력받는다. DB에 저장된 비밀번호와 일치하는지 확인한다.
*Spring Security는 아이디를 principal, 비밀번호를 credential이라고 부름.
2. 이중인증(Two-factor authentication):
한번에 두가지 방식으로 인증을 받는 것.
예를 들면 금융, 은행 웹 어플리케이션을 이용해 온라인 거래를 할 때
로그인, 보안인증서 2가지 인증을 하는 것.
3. 물리적 인증:
가장 효과적인 보안 수단. 생체인식(지문, 홍채), 키를 사용.
[권한부여 분류]
- 부여된 권한(Granted Authority):
적절한 절차로 사용자가 인증(Authentication)이 되었다면,
권한을 부여(Granted Authority)해야한다.
회원가입등을 통해 반영구적인 권한이 부여되었다면 이렇게 부여된 권한을 어딘가에 저장한다.
- 리소스의 권한(Intercept):
권한이 없는 자들이 원천적으로 리소스에 접근할 수 없도록 방지.
즉, 적절한 권한을 가진자만 해당 자원에 접근할 수 있도록 자원의 외부요청을 원천적으로 가로채는 것.
'웹 프로그래밍' 카테고리의 다른 글
[CSS]여러 개의 버튼을 가운데 정렬하는 방법 (0) | 2019.07.04 |
---|---|
[JAVA] bean 생성 문제 (0) | 2018.06.19 |
MDB navigation 공백 처리법 (0) | 2018.06.04 |
JSP 문법 (0) | 2018.04.24 |
JSP Scope 영역에 대한 정의 (0) | 2018.04.24 |
댓글