kth990303의 코딩 블로그

스프링 시큐리티를 이용하면 기본적으로 csrf() 옵션이 설정된다. 그렇기 때문에 GET Method를 제외한 POST, DELETE 등이 제대로 실행되지 않고 403 Forbidden 에러를 내뱉을 수 있다. 위 에러는 아래 테스트코드에서 발생했다. 여기서 csrf 공격이란, 간단히 말해서 아래와 같다. 공격자가 임의로 이미지나 하이퍼링크에 자신이 만든 악성링크를 첨부하거나, 이메일로 전송한다. 사용자는 실수로 해당 링크를 클릭한다. 이 때, 사용자는 인증이 완료된 로그인된 상태여야 한다. 공격자는 사용자가 링크를 클릭함으로써 JSESSIONID 등 권한을 탈취하여 마음껏 크래킹할 수 있는 상태가 된다. 이러한 공격을 csrf 공격이라고 한다. 왜 테스트 코드에서 403 Forbidden이 뜬걸까? 먼..

이번엔 로그인 기능을 구현하고, 로그인에 성공하면 토큰을 생성하도록 코드를 짜보는 연습을 해보았다. 강의를 들으면서 타이핑했는데 콜백함수와 자바스크립트에 대한 이해도를 높일 뿐 아니라, 로그인 구현을 하는 방법에 대해 어렴풋이 알게 된 좋은 기회였다. 자바스크립트를 오랜만에 해서 기억이 드문드문 나는 상태였는데, 역시 하면서 감을 살리는 것이 베스트인 듯하다. 전체코드는 여기서 볼 수 있다. https://github.com/kth990303/boiler-plate-prac kth990303/boiler-plate-prac Practice Boiler-Plate use NodeJS, React. Contribute to kth990303/boiler-plate-prac development by crea..