인기쟁이 돌고래

1. Password Grant 구성요소(1) 토큰: PasswordAuthenticationToken public class PasswordAuthenticationToken extends AbstractAuthenticationToken { private final Authentication clientPrincipal; // client 인증 정보 private final String username; private final String password; private final Set scopes; private final Map additionalParameters; public PasswordAuthenticationToken(Authentication cli..

인증서버 구축을 해야하는데 기존 서비스의 poc에서 수정없이 인증서버만 쑉 갈아치워야 하는 상황.신규프로젝트이기 때문에 버전등은 모두 골라 쓸 수 있는 상황. (신난당) 프로젝트를 구성해보자.java21 + spring 3.5.5 + 아래 라이브러리를 쓰기함!// Securityimplementation 'org.springframework.boot:spring-boot-starter-security' //import된 버전 보니 6.5.3implementation 'org.springframework.boot:spring-boot-starter-oauth2-authorization-server' //import된 버전 보니 1.5.2implementation 'org.springframework.b..

scope 나 role 정도만 쓰면 될 듯 ( 그 중에서도 우리는 Role만 써도 될듯) 코드에서 해당 Scope / Role을 사용(적용) 하려면? 1) 공통: 메서드 보안 켜기@Configuration@EnableMethodSecurity(prePostEnabled = true, securedEnabled = true) // @PreAuthorize / @Secured 사용class MethodSecurityConfig { } 2) 스코프 기반 권한 매핑 (SCOPE_…)@Configuration@EnableWebSecurityclass SecurityConfig { @Bean SecurityFilterChain security(HttpSecurity http) throws Exception {..

Spring Authorization Server(Spring Security 팀에서 만든 공식 Authorization Server 구현체)가 내부적으로 쓰는 표준 스키마를 기준으로 테이블명, 역할, 필수여부 아니 그럼 id/pw는 어디에...?

📌 OAuth 2.02012년에 RFC 6749로 표준화.Access Token, Refresh Token 발급 방식 정의.Authorization Code, Implicit, Password, Client Credentials 등 다양한 grant type 제공.유연성은 높지만, 복잡하고 보안 이슈가 생길 수 있는 부분도 있음.예: Implicit Grant는 토큰이 브라우저를 통해 직접 노출되기 때문에 보안상 취약.📌 OAuth 2.1아직 RFC로 완전히 표준화된 건 아니고, OAuth 2.0을 단순화·정리한 권고안.기존 2.0의 여러 권장사항과 보안 모범사례를 묶어 새 버전으로 정리.핵심 차이:Implicit Grant 제거 → 보안 문제(토큰 노출) 때문에 더 이상 사용 권장 안 함.→ 대신 ..