기록들 https://github.com/ndgndg91

spring security 를 통해서 OAuth2 구현을 해 볼 예정이며, 먼저 이번 글에서는 OAuth2 개념과 JWT 개념에 대해서 정리해보려고 한다.  OAuth 2 란? OAuth 2.0 권한 부여 프레임워크를 사용하면 타사 애플리케이션의 자원 소유자와 HTTP 서비스 간의 승인 상호 작용을 조정해 자원 소유자를 대신해 HTTP 서비스에 대한 제한된 접근 권한을 얻거나 타사 애플리케이션이 자체적으로 접근 권한을 얻는다. 해당 사양은 RFC 5849, The OAuth 1.0 Protocol 에 설명된 더 이상 사용하지 않는 OAuth 1.0 프로토콜을 대체한다.      The OAuth 2.0 authorization framework enables a third-party application to obtain limited access to an HTTP service, either on behalf of a resource owner by orchestrating an approval interaction between the resource owner and the HTTP service, or by allowing the third-party application to obtain access on its own behalf. This specification replaces and obsoletes the OAuth 1.0 protocol described in RFC 5849 . https://tools.ietf.org/html/rfc6749 OAuth 2 를 활용하는 방법을 제대로 이해하려면 특정 역할과 역할 간의 관계를 이해해야 한다. 그렇다면, 각 권한 부여 프로세스에 참여하는 역할을 살펴보자. OAuth defines four roles: resource owner An entity capable of granting access to a pro...

바로 지난 글( https://infondgndg91.blogspot.com/2020/06/spring-security-userdetailsservice-with.html )에서, 스프링 시큐리티에서 TokenBasedRememberMeServices 를 이용한 토큰 기반 Remember-Me 기능에 대해 알아보았다. 이번글에서는, PersistentTokenBasedRememberMeServices 를 이용한 영구 토큰 기반 Remember-Me 에 대해서 정리해보려고 한다. 먼저 영구 토큰 기반 Remember-Me 기능을 사용하기 위해선 말 그대로 토큰을 저장할 저장소가 필요하다. 나의 경우 MariaDB 를 사용했다. Persistent Token Based 는 Token Based 와 다르게 시그니처를 검증하지 않는다. 대신, 토큰 저장소에 일한 토큰이 존재하는지 확인한다. Persistent Token Based Cookie 는 아래와 같은 요소를 포함한다. 시리즈 식별자 (Series Identifier) : 사용자의 초기 로그인을 식별하며, 사용자가 세션에 자동으로 로그인될 때마다 값이 항상 동일하다 . 토큰 값 : 사용자가 Remember-Me 기능을 사용해 인증될 때마다 변경되는 고유한 값이다. 아래 다이어그램을 보면, Remember-Me 쿠키가 전송되면, 스프링 시큐리티는 전송된 쿠키의 시리즈 식별자를 통해서, PersistentTokenRepository 에서 예상되는 토큰값을 찾는다. 찾은 토큰의 값과 전송된 쿠키의 값을 비교하여 일치여부를 통해 인증을 한다. 사용자가 전송한 시리즈 식별자와 일치하는 값이 데이터베이스에 존재하지만 토큰 값이 일치하지 않는 경우 누군가가 Remember-Me 쿠키를 도용하고 있다고 간주할 수 있다. 해당 경우, 스프링 시큐리티는 관련된 Remember-Me 토큰을 폐기하고 사용자에게 해당 세션의 탈취 가능성을 경고한다. 이 경우 스프링 시큐리티는 관련된 모든 세션을...

여러가지 서비스를 이용하다보면, 자동 로그인하기라는 체크 박스를 기본적으로 확인할 수 있다. 스프링 시큐리티에서 지원하는 Remember-me 라는 기능이 바로 그 기능이다. 웹사이트를 자주 방문하는 사용자에게 편리한 기능이다. 사용자가 웹 브라우저를 종료한 후에도 사용자의 웹 브라우저에 Remember-Me 쿠키를 저장함으로써 재방문 시 사용자를 기억하는 기능이다. 이는 사용자가 사용자명이나 패스워드를 다시 입력할 필요가 없다. 스프링 시큐리티 Remember-Me 기능에는 두 가지가 있다. 토큰 기반의 Remember-Me 기능으로, 암호화 시그니처 에 의존한다. (TokenBasedRememberMeServices) 영구 토큰 (Persistent Token) 기반 Remember-Me 기능이며, 데이터베이스 (datastore) 가 필요하다. (PersistentTokenBasedRememberMeServices) 먼저, 토큰 기반 Remember-Me 기능을 살펴보자. 아래의 로그인 화면과 같이, login.html 에서 Remember me 체크 박스를 만들어준다. 그리고 name attribute 설정을 해준다. spring security remember-me 기능의 default parameter 는 "remember-me" 이다. 물론 다르게 설정이 가능하다. 아래는 시큐리티 설정이다. HttpSecurity 에 rememberMe() 와 key() tokenValiditySeconds() 메서드를 통해 설정한다. key() -> Remember-Me 쿠키의 시그니처 생성 시 사용되는 고유한 키를 정의한다. 애플리케이션의 고유 이름을 포함한 최소 36자 길이의 문자열을 사용할 것을 추천한다. tokenValiditySeconds -> Remember-Me 쿠키의 만료 시간을 설정한다. -1 로 설정한다면, 2주를 의미한다....

스프링 시큐리티는 모두들 러닝 커브가 높다는 것을 알고있다. 나 또한 그동안 스프링 시큐리티를 가볍게만 사용해보았고, 여러가지 지원되는 기술들을 면밀하게 장단점을 알고 쓰질 못했다. 스프링 진영에서 인증, 권한을 포함한 보안과 관련된 프레임워크는 단연 시큐리티 만한게 없다고 생각해왔고, 평판도 익히 들었다. 그동안 미루어왔던 시큐리티 학습을 시작해보려고 한다. 아래 책을 따라가면서, 실습을 해 볼 예정이다. 책의 버전과 현재 버전이 일치하지 않는 부분도 있고, 그냥 내가 만들고 싶은걸 만들면서 배우고 싶은 생각도 있어서 예제를 그대로 따라가지 않고 시큐리티를 실습해 볼 예정이다. http://www.acornpub.co.kr/book/spring-security-3e 우선, 책 첫 부분에 나오는 초기 세팅 및 inMemoryAuthentication 의 예제이다. spring boot 버전은 2.3.0.RELEASE 이며, spring security 버전은 5.3.2.RELEASE 이다. 아래에서 확인이 가능하다. MVC 구조에서 간단하게 진행하기 때문에, web 을 추가했고 또한 thymeleaf 템플릿 엔진을 사용할 것이다. jpa 와 h2 는 추후에 jdbc 기반 인증을 하기 위해서 미리 넣어두었다. lombok 과 devtools 는 애용하기 때문에 집어넣었다. 그렇다면, 본론으로 넘어가서 Security 설정을 해보자. WebSecurityConfigurerAdapter 를 상속 받아 configure 메서드를 재정의하면 된다. configure(AuthenticationManagerBulider) 메서드에서 AuthenticationManagerBuilder 객체는 스프링 시큐리티가 사용자를 인증하는 방법을 설정한다. 아래의 경우, 인메모리 데이터 저장소를 이용해 사용자명과 패스워드를 비교한다. 인메모리 데이터 저장소에 2개의 2개의 계정을 물고 있으며, 해당 2개의 계정만...

프로젝트가 진행됨에 따라, 서비스 혹은 회사가 성장함에 따라 요구사항은 다양해지고 기존의 시스템에도 변경이 일어난다. 이는 불가피하게 시스템의 복잡성을 증가를 수반하게 된다. 따라서, 시간이 지날수록 클린 코드와 클린 아키텍쳐를 이룰 수 없게 될지 모른다. 이를 Software Entropy 라고 부른다. https://www.webopedia.com/TERM/S/software_entropy.html 시스템에 수많은 변경과 반영이 일어나면서, 적절한 관심사 분리와 클래스와 모듈간의 결합도를 낮추는것을 유지하는것은 점점 더 어려워 지며, 아키텍쳐 레벨에서 가이드라인을 강제하지 않을 경우 시스템의 새로운 기능 및 변경이 더이상 힘들어질 수 있다. 전통적인 MVC (Model-View-Controller) 아키텍쳐에선, "M" Layer 는 모든 비즈니스 로직을 가지고 있다. 그러나 MVC 에서에는 깔끔하고 적절하게 책임의 경계를 이루기 어렵다. 몇가지 패턴들은 해당 문제를 완화시킬 수 있지만, 여전히 로직과 책임이 새어나갈 여지가 있다. 반대로, 비즈니스 전문가들과 요구 사항을 수집하고, 기술적인 팀과 비기술적인 팀 사이에서 합의점을 찾아는 과정에서, 시스템을 설계하고 수행할 때 양측은 서로 자신의 부분에 맞게 잘못 해석할 여지가 있다. 결과적으로 이는 원래의 목표와는 다르게 프로젝트에 반영될 여지가 충분하다. 그리고, 변수와 클래스 메서드 등을 네이밍할 때 개발자들이 가장 힘들어 하는 부분이다. 우리는 다른 개발자가 명확하게 코드에서 작성자의 의도를 이해할수 있도록 해야하며, 또한 비즈니스 관계자(기획자, 테스터 등)들 및 이해관계자들과 의사소통을 할 때도 충분하게 활용할 수 있어야한다. DDD 는 소프트웨어 프로젝트에서 충돌하는 기술팀과 비기술팀을 조정하면서 동시에 성공적인 시스템 구축을 쉽게하는 기술들과 패턴을 제안하며 기존의 문제들을 해결할 수 있다. DDD 란 무엇인가 ? 먼저 Domain 이 무엇인지 알...

DDD 에서 중요한 개념인 Entity 와 Value Object 에 대해서 다른 글들에서 알아봤다. 하지만 이외에도 가장 중요한 개념이 아마 Aggregate 가 아닌가 생각한다. 그렇다면 Aggregate ( 애그리게잇 ) 이란 과연 무엇인가 ??! 어그리게잇은 Entity 와 Value Object 들의 집합이며, 함께 클러스터링 되어 트랜잭션의 경계를 이룬다. 어그리게잇자체도 Entity 이기에 mutability 를 가지고 있다. 또한 Invariants 를 가진다. 비즈니스 상으로 필수적으로 일관성을 지켜야하는 룰이 있다. 예를 들어 Order 라는 주문 애그리게잇은 주문하려는 상품의 재고가 0일 경우 주문이 이루어 질 수 없다. 이는 Order 라는 애그리게잇의 생성과 관련된 필수적으로 일관성을 지켜야하는 룰이다. Aggregate 를 설계할 때 주의해야 할 점을 다루어보겠다. 크기가 큰 Aggregate 는 좋은가? -> 좋지 않다. Aggregate 는 Entity 이면서 동시에 다른 Entity 를 가질 수 있다. 이는 생애주기를 가지는 객체라는 말을 의미하게 되는데, 크키가 커질수록 당연히 클러스터링 되는 Entity 또한 증가할 것이다. 따라서 Entity 가 커질수록 트랜잭션을 다루기 어려워지며, 트래픽이 증가할 수록 동시성 이슈도 고려를 해야한다. 동시성 이슈는 DDD 에서는 Version 을 통해 Optimistic Locking 기법을 보통 사용한다. Pessimistic Locking 의 경우 Database level 에서 컨트롤하기 때문에 이는 Domain 에 기반한 접근과 거리가 있다. 진짜 고정자를 일관성 경계 안에 모델링하라 -> 고정자는 앞서 언급했듯이, 언제나 일관성을 유지해야만 하는 비즈니스 규칙이다. 일관성에는 아래와 같이 두 가지를 다룰 수 있다. 트랜잭션적 일관성 ( Transactional consistency ) 결과적 일관성 ...

이번에 다룰 DDD 의 내용은 바로 값 객체이다. 반 버논에 도메인 주도 설계 구현에서는 되도록이면 엔터티가 아니라 값 객체를 사용해 모델링하도록 노력해야 한다고 말한다. 값 객체의 이점으로 책에서는 아래와 같이 언급한다. "측정하고 수량화하거나 설명해주는 값 타입은 생성, 테스트, 사용, 최적화, 유지 관리가 더 쉽다." 그렇다면  도메인 개념을 값으로 모델링해야 할지 알 수 있는 방법은 무엇인가? 아래와 같은 특징을 포함하는지 고려해야 한다. 도메인 내의 어떤 대상을 측정하고, 수량화하고, 설명한다. 불변성이 유지될 수 있다. 관련 특성을 모은 필수 단위로 개념적 전체를 모델링한다. 측정이나 설명이 변경될 땐 완벽히 대체 가능하다. 다른 값과 등가성(value equality) 을 사용해 비교할 수 있다. 협력자(collaborator) 에게 부작요이 없는 행동 (Side-Effect-Free Behavior) 을 제공한다. 측정, 수량화, 설명 -> 도메인 내에 있는 어떤 대상을 측정하고 수량화하고 설명하는 개념. ex) 사람에겐 나이가 있다. 나이는 실재하는 어떤 대상은 아니지만, 사람이 살아온 햇수를 측정하거나 수량화 한다. 불변성 -> 값 객체는 한 번 생성되면 변경할 수 없다. 보통 java 에서 객체를 생성할 때 특정 생성자 혹은 팩토리 패턴을 이용해서 생성후 객체의 변경을 할 수 있는 메서드를 제공하지 않는 방법으로 불변성을 유지할 수 있다. 만약 지금 설계하고 있는 객체가 자신의 행동으로 인해 변경돼야 한다고 생각한다면, 이는 값 객체가 아니라 엔터티로 설계해야 함을 의미한다. 개념적 전체 (Conceptual Whole) -> 값 객체는 하나 이상의 개별적 특성을 가질 수 있으며, 각 특성은 서로 연관되어 있다. 여러 특성이 설명하는 바를 모아 전체를 나타낸다.  ex) {50,000,000달러} 는 50,000,000 이라는 특성과 달러...