인기 글 [Spring Security] CORS, CSRF란? CORS란? CORS란 “Cross-Origin Resource Sharing”의 약자입니다. CORS는 프로토콜인데, 서로 다른 origin일 시 리소스와 상호 작용하기 위해 클라이언트인 브라우저에서 실행되는 스크립트입니다. 예를 들어 UI 앱에서 서로 다른 도메인인 API를 호출할 시 CORS로 인해 기본적으로 차단됩니다. 이는 대부분의 브라우저에서 구현되는 W3C의 스펙입니다. 따라서 CORS는 보안이나 공격과 같은 문제가 아니라 서로 다른 Orgin 간의 데이터 및 통신을 할 때 브라우저에서 이를 중지하기 위해 제공하는 기본 보호 기능입니다. 예를 들어 큰 규모의 IT 기업일 경우 백엔드 서버와 프론트엔드 서버의 IP가 서로 다릅니다. 이때 프론트엔드 서버에서 클라이언트가 로그인을 했을 때, 백엔.. 댓글 0 2023.06.14 [Spring Security] 로그인/로그아웃 구현 및 타임리프 적용 1. 개요 리엑트와 같은 클라이언트 사이드 렌더링일 경우 JWT 토큰을 사용해 로그인 처리를 했겠지만, 저같은 경우 서버 사이드 렌더링인 타임리프를 사용해 JWT 토큰 사용은 곤란했습니다. 따라서 시큐리티의 세션으로 로그인 로그아웃을 구현했고, formLogin을 사용했습니다. 2. 설정 정보 전체 설정 코드 아래는 SecurityConfig 설정입니다. 저는 스프링 부트 3.1, 스프링 시큐리티 6.1 버전을 사용하고 있습니다. @Configuration @RequiredArgsConstructor public class SecurityConfig { private final MemberDetailsService memberDetailsService; private static final int ONE.. 댓글 2 2023.07.05 [Spring Security] UserDetailsService와 UserDetails 및 Authentication의 차이점 1. UserDetailsManager 이해하기 스프링 시큐리티 필터를 거친 다음, AuthenticationManager는 적절한 Provider를 선택한 후 UserDetailsManager를 호출합니다. 상속도 전반적인 상속도입니다. 최하단의 3개의 클래스는 Spring Security에서 기본적으로 제공하는 매니저이며, 개발자가 정의한 매니저를 사용할 수 있습니다. 1. UserDetailsService UserDetailService에서는 클라이언트에게 받은 username을 검색합니다. 해당 인터페이스에는 loadUserByUsername() 메소드만 정의되어 있습니다. public interface UserDetailsService { UserDetails loadUserByUsername(.. 댓글 0 2023.06.10 새로운 글 템플릿 메소드(Template Method) 패턴으로 로직 중복 제거하기 이번 포스팅은 실무에서 템플릿 메소드 패턴을 사용하여 중복되는 '행위'를 해결한 일지를 작성해보고자 합니다.개요실무에서 Google의 Firebase Cloud Messaging을 활용하여 푸시를 전송하는 로직을 개편했다. FCM을 활용하여 푸시를 전송할 때는 FCM에서 발급하는 '토큰'을 전송해야 한다. 이때 FCM 서버는 토큰을 최대 500개까지 허용한다. 만약 회원과 토큰이 일대일이라고 가정하자. 푸시를 전송해야 하는 회원이 2천명이라면, 한 번에 2천개의 토큰을 Request Body에 담아 FCM에 요청하면 예외가 터지는 것이다.따라서 프로젝트 설계를 아래와 같이 구성했다.public class ListExtractor { ... public ListExtractor(final long ex.. 2024.06.14 [JAVA] 레코드 사용하기 레코드는 무엇인가 우리는 흔히 이런 경험을 한다. 고작 단순한 데이터를 운반하는 일을 하는 객체를 모델링할 때 과도한 모델링으로 오버헤드가 발생하는 경험 말이다. 예를 들어, 보다 정확하게 객체를 모델링하려면 생성자부터, equals(), hashCode(), toString() 등 반복적인 코드를 많이 작성해야 했다. 레코드의 탄생은 이런 자바의 불편함에서 시작했다. 레코드는 코드를 들여다볼 때부터 “데이터 운반 객체”란 설계 의도를 파악하기 쉽다. 다음 두 코드를 보면 그 차이가 확연히 들어난다. public final class UserInfo { public final String name; public final int age; public UserInfo(String name, int age).. 2024.01.24 [JAVA] 예외를 다루는 Best Practice 예외를 다루는 Best Practice가 있을까? 자바의 예외에 대한 포스팅은 굳이 이 글이 아니고도 많은 블로그에서 찾아볼 수 있으므로 생략하겠다. 간단히 언급해보자면 Exception은 try-catch를 강제하며 try-catch에서 해결하거나 throws해야만 한다. Runtime Exception은 해결 불가능한 예외로 try-catch를 강제하지 않는다. 스프링에서는 하나의 트랜잭션에서 RuntimeException이 터지면 롤백되도록 설계되었다. 이 정도는 다 아는 내용이라고 생각하고 더는 생략하겠다. 오늘 이 글에서 하고 싶은 말은 예외를 다루는 Best Practice가 있을지 고민한 글이다. 그 중에서도, 커스텀 예외는 언제 만들어야 할까? 에 대해 글로 녹여봤다. 글을 쓰게된 것은 사.. 2024.01.16 클래스간 의존 강결합 해결하기 (1) - 스프링 이벤트 활용 클래스간 강결합 문제 회원가입 했을 때 환영 메세지를 보내는 비즈니스 로직을 개발하고자 한다. 보통 아래와 같이 개발하고자 할 것이다. class JoinService { void join() { // 회원 가입 로직... messageService.sendWelcomeMessage(message); } } 위처럼 코드를 작성할 때 무엇이 문제일까? JoinService와 MessageService가 강하게 결합하는 문제가 있다. 이런 강결합에는 다음과 같은 문제가 있다. 트랜잭션 문제이다. 도메인의 비관심사의 실패로 관심사에 영향을 미쳐서는 안 된다. 즉, 메세지를 보낼 때 실패해서 롤백되었어도 관심사는 롤백되어서는 안 된다. 반대로 관심사가 실패하면 비관심사도 같이 실패해야 한다. 즉, 회원가입이 실.. 2024.01.14 [Spring] Mapstruct 라이브러리 빌드 시 이슈 해결 Mapstruct 빌드 시 발생하는 문제회사 업무 파악을 하다가 서비스 코드를 빌드하는데 아래와 같은 문구가 IDE에 출력되었다.error: No implementation was created for ExampleMapstruct due to having a problem in the erroneous element java.util.ArrayList. Hint: this often means that some other annotation processor was supposed to process the erroneous element. You can also enable MapStruct verbose mode by setting -Amapstruct.verbose=true as a compila.. 2024.01.11