Spring boot Security 회원가입/로그인 구현 주의 사항

 

인증과 인가

• 인증 
  유저가 누구인지 확인하는 절차, ex) 회원가입 로그인
• 인가
  유저가 요청하는 request를 실행할 수 있는 권한이 있는 유저인지 허락하는 것

=>어떤 사이트든 인증과 인가가 있음

 

 

CSRF(Cross-site request forgery)

 

스프링 시큐리티를 사용할 경우 CSRF방어를 위해 모든 POST방식 데이터 전송에는 CSRF토큰 값이 있어야한다. 

이 토큰은 실제 서버에서 허용한 요청이 맞는지 확인하는 토큰이다.

예시코드

<input type="hidden" th:name="${_csrf.parameterName}" th:value="${_csrf.token}">

 

 

 

 

참고:

https://velog.io/@aaronddy/%EC%9D%B8%EC%A6%9DAuthentication%EA%B3%BC-%EC%9D%B8%EA%B0%80Authorization