#csrf

질문 1
해시태그 없이 키워드만 일치하는 질문은 개수에 포함되지 않아요.

한 달 전 · 익명 님의 새로운 댓글

제 수준이 어느정도인지 궁금합니다

잡코리아에 아래 글을 올렸었는데 “ 우선 대학고 졸업 예정(현 2학년) 입니다! 1인개발 스프링 경험이 있습니다 Jwt랑 Redis로 토큰 기반 로그인 Rest API 관리자, 로그인 페이지등 간단한 프론트엔드 Nginx 활용 certbot, Let`s Encrypt로 https해서 리눅스 서버에 올려서 운영까지 모두 1인 개발입니다 몽고디비도 연동했습니다 Sql injection이랑 CSRF 공격등 보안도 좀 신경 썼습니다! 졸업 후 월급 연봉쪽이 궁금합니다!! 자바는 5년정도 했습니다. + 방학마다 개발 스타트업에서 일하고 있습니다 “ 답변은 요렇게 달렸어요 “ 생노베 비전공 국비 졸업생도 수료 후 3-6개월 더 하면 하는 수준을 나열해주셨어요. 연봉 3천 중소 블랙 si 노려볼만 하겠습니다. “ 정말 노베 졸업생도 이정도 한다니.. 좀 많이 놀라운데 스프링 내부 설계나 이런거 기술 안한것도 많지만.. 정말 주변 대학생이나 누구보다 나름 잘한다 생각했는데 이게 현실인건가요 ㅠㅠㅠ 제 깃허브는 별볼일 없긴 합니다 https://github.com/Teynx

개발자

#백엔드-개발자

#스프링부트

#스프링

#백엔드

#취업

답변 3

댓글 5

조회 754

6달 전 · 박정환 님의 새로운 댓글

스프링부트 로컬 환경에서는 되지만, 배포 환경에서 404 에러가 발생합니다.

안녕하십니까 선배님들. 스프링부트 API 서버를 개발하고 배포하였는데 다음과 같은 문제가 발생하였습니다. 로컬 환경에서는 잘 작동하지만, 배포 환경에서 특정 POST 요청에서 404에러가 발생하는 문제였습니다. 해당 요청은 JSON을 반환하는 컨트롤러입니다. 서핑을 하던 중, Spring Security의 CSRF의 문제일 수도 있다고 하던데 저는 현재 Security를 사용하지도 않고 다른 POST 요청은 잘 응답하여 뭐가 원인인지 잘 모르겠습니다. 아래는 application.yaml과 Controller 코드입니다. 감사합니다. // application.yaml spring: application: name: tika servlet: multipart: max-file-size: 50MB max-request-size: 50MB

개발자

#스프링

#자바

답변 1

댓글 2

조회 81

2년 전 · 남영훈 님의 새로운 답변

[Django ]CSRF(Cross-Site Request Forgery) 보호를 해제하면 프론트엔드와의 통신에서 CORS(Cross-Origin Resource Sharing)

CSRF(Cross-Site Request Forgery) 보호를 해제하면 프론트엔드와의 통신에서 CORS(Cross-Origin Resource Sharing)가 발생하나요?

개발자

#nginx

#csrf

#django

답변 1

댓글 0

보충이 필요해요 2

조회 105

2년 전 · 익명 님의 새로운 댓글

refresh Token은 왜 사용하는건가요??

액세스 토큰이 탈취될 가능성이 있어서, 탈취된 경우 피해를 최소화하기 위해 리프레쉬 토큰을 사용한다고 이해했습니다. 액세스 토큰만을 사용하고, 액세스 토큰을 브라우저의 쿠키에 저장한다고 했을때 쿠키에 httponly, secure 설정 / 서버에 csrf토큰 및 https를 적용하면 Csrf 및 Xss 공격을 예방하고 쿠키에 저장된 액세스 토큰이 암호화 되어 있어 이를 가로챈다고 해도 원래 값을 알아낼 수 없으니 액세스 토큰 자체가 탈취될 가능성을 배제할 수 있을 것 같은데 어떤 이유에서 리프레쉬 토큰을 쓰는건가요??? 정말 너무 너무 궁금한데 지식이 부족해 구글링으로 속시원한 답을 찾아낼 수 없어 질문 올려봅니다..!

개발자

#jwt

답변 2

댓글 3

추천해요 7

조회 1,092

일 년 전 · 상현 님의 답변 업데이트

Next.js server component(app router)의 auth 관련 질문 입니다.

안녕하세요. 이번에 Next.js(13)에서 최신 기술인 app router를 기반으로 자그마한 홈페이지를 구축 중에 있습니다. JWT 기반으로 SSR을 구축하고 있습니다. middlware로 어떻게 든 토큰 재발행이 가능한 로그인 구현을 완료 했습니다. 하지만 ServerComponent이다 보니, RSC에서 accesstoken 혹은 refreshtoken과 같은 인증 토큰이 만료 되었을 때, 재 발행을 하려면 어떻게 해야 할까요? cookie나 header는 접근은 가능해도 Set-Cookie를 내려 보내거나 할 수는 없는 걸로 문서에 나오고 실제로도 되지 않습니다. 어떻게 하면 ServerComponent에서 토큰을 재발행 하거나 다른 인증 방법이 있을 까요? 아니면 JWT + Session으로 가는 조합을 사용 해야 할까요??? 또, client와 server 간의 토큰 공유를 위해 access-token만 http-only를 해제하고 사용 중에 있습니다. 이게 cors나 csrf와 같은 공격에 취약한 문제가 있어서 이게 올바른 구현 방법일까요? 일단 제가 찾은 방법으로 가장 쉽게 해결되는 방법은 아직 실험 단계인 server action을 활성화 해서 클라이언트에서 토큰을 가지고 있을 필요가 없이 서버에서만 관리 하는 방법입니다. BFF을 일부 수용해서 해결 했습니다. front <-> BFF <-> api

개발자

#next.js-13

#oauth2.0

#jwt

답변 3

댓글 1

추천해요 1

조회 1,225

2년 전 · 커리어리 AI 봇 님의 새로운 답변

next.js 하고 express.js 로 웹앱 개발중인데

next.js 에서 express 쪽으로 request 날릴때 express 에서 csrf 검증을 통해서 요청을 검증하고 싶은데 csrf token 발급을 어떻게 해야할지 감이 잘 안와서요 next.js 에서 express로 csrf token 발급 request를 날려서 발급받은 csrf token을 쿠키에 저장하는 방법이 좋을까요?

개발자

#javascript

#nextjs

#expressjs

답변 1

댓글 0

조회 466

2년 전 · 커리어리 AI 봇 님의 새로운 답변

스프링 시큐리티 접근제어 문제 질문

스프링 시큐리티에 ​ AbstractAuthenticationToken authentication = new UsernamePasswordAuthenticationToken( "email", null, AuthorityUtils.createAuthorityList("admin") ); 이런식으로 값을 넣어주고 ​ 컨트롤러에서 SecurityContextHolder.getContext().getAuthentication() 로 값을 뽑았을 때 [Principal="email", Credentials[PROTECTED], Authenticated=true, Granted Authorities=[admin]] ​ 이렇게 값이 잘 옵니다. ​ 문제는 시큐리티 콘피그에서 ​ http.authorizeRequests() .mvcMatchers("/offers/**").hasAuthority("admin") 으로 설정해놓았는데 offers에 접근하면 403 forbidden에러가 뜹니다.... ​ hasRole로 바꾸어도 마찬가지고요. ​ 왜 해당 에러가 발생하는지 궁금합니다. csrf().disable()도 하였습니다. ​ SecurityContextHolder.getContext().getAuthentication()에 있는 값으로 SecurityConfig에 있는 권한을 설정하는 것이 아닌가요? ​ 검색하며 시도를 해보았지만 해결되지 않아 질문합니다.

개발자

#백엔드

답변 1

댓글 0

추천해요 1

조회 293