7강 과제 #84
7강 과제 #84
Conversation
| private void checkUserAccess(Long targetUserId, Long requestUserId) { | ||
| if (!Objects.equals(targetUserId, requestUserId)) { | ||
| throw new AccessDeniedException("Access Denied : " + targetUserId); | ||
| } | ||
| } |
There was a problem hiding this comment.
요청한 사용자와 리소스의 소유자가 다를 경우 요청을 거부하기 위해서 사용되는 메서드인 것 같아요. check라는 말은 너무 보편적이라서 다르게 해석될 여지가 많을 것 같아요.
그리고 수정하려는 리소스의 아이디와 요청하려는 아이디가 같은지 다른지는 도메인 모델에 관계없이 알 수 있는 거라서, Controller단에서 유효성을 검사하는 방법도 있을 것 같아요
There was a problem hiding this comment.
앗 네이밍이 역시 고민이군용..!!ㅠ
UserAccessValidator 클래스를 생성하고 validateAuthorizeUserAccess() static 메서드로 변경했습니다.
User라는 리소스에 접근할 수 있는 권한이 있는가를 체크하는 메서드입니다.
Controller에서 확인하는게 맞지않나 싶었는데, 강의에서 Service로 하기에 생각없이 작성했네요🥲 반성합니다 ㅎㅎ
| Filter authenticationErrorFilter = new AuthenticationErrorFilter(); | ||
|
|
||
| http | ||
| .csrf().disable() |
There was a problem hiding this comment.
여기서 csrf를 왜 disable하는지 이유를 명확히 짚고 넘어가는 것도 좋겠습니다
There was a problem hiding this comment.
사용자의 인증정보를 세션기반으로 서버나 브라우저에서 해당정보를 가지고 있을 수 있고 그 상태에서 위변조 요청이 가능하게됩니다.
해당 옵션을 활성화시키게 되면 브라우저에서 위변조 요청을 방지할만한 다른 정보를 함께 전송해야 합니다.
하지만 토큰 기반의 인증에서는 서버는 무상태로 요청을 받을 때마다 토큰의 유효성을 체크하게 되므로 서버에서는 인증정보를 가지고 있지 않습니다. 토큰 이외의 csrf 방지를 위한 개발요소를 추가하는 것이 불필요 하게 되므로 disable 시킨 거라고 이해했습니다.
아래 문서 참고
https://docs.spring.io/spring-security/reference/features/exploits/csrf.html
| .addFilter(jwtAuthenticationFilter) | ||
| .addFilterBefore(authenticationErrorFilter, JwtAuthenticationFilter.class) | ||
| .sessionManagement() | ||
| .sessionCreationPolicy(SessionCreationPolicy.STATELESS) // session 무상태 처리 |
There was a problem hiding this comment.
여기서 무상태라는 것은 어떤 의미인가요? REST의 관점에서 설명해보는 것도 좋겠네요
There was a problem hiding this comment.
REST 요청에서는 요청의 전 후 연결에 관여하지 않습니다.
항상 지금의 요청에 대해서만 처리할 뿐이라 무상태(stateless) 라고 합니다.
security를 설정 할때도, JWT 인증 방식에서 서버는 유저의 로그인 상태를 세션등으로 따로 관리하지 않습니다.
로그인을 했다는 상태를 관리하는것이 아닌, 요청이 올때마다 토큰을 검증함으로써 인증/인가를 할 뿐입니다.
7강 과제입니다.