TicketWar

인증 인가 정보는 어디에 담아야할까? (cookie? authentication header?)

Web

Development

TicketWar

Projects

인증 인가 정보는 어디에 담아야할까? (cookie? authentication header?)

인증 인가 정보 전달 방법의 결정 요구사항 * HTTP 표준에 부합해야한다. * 보안 이슈를 최소화해야한다. * 클라이언트에서도 처리가 간편해야한다. * 모든 HTTP request 에서 처리 가능해야한다. * JWT, Session 모두 고려해야한다. 고려대상 Request Body * Request Body 에 auth 정보를 싣어 보내는 방법의 경우 GET HEAD DELETE TRACE 와 같은 HTTP Method 에서 사용할 수 없다.

By Sungjun Park
인증 인가의 상태 코드 반환은 어떻게 해야할까?

Web

Development

TicketWar

Projects

인증 인가의 상태 코드 반환은 어떻게 해야할까?

인증 인가와 상태 반환 코드 요구사항 * HTTP 표준과 부합해야한다. * Client 입장에서 처리하기 편리해야한다. * 보안을 고려해야한다. 고려대상 * 인증에 실패할 경우 항상 401 (Unauthorized) * 상황에 따른 HTTP Status code * 인증 정보가 있는 경우 * 성공 * 실패 * 잘못된 정보로 인증 하는 경우 * 유효한 인증이나 접근이 불가능 한 경우 * 403 ? 404 ? * 인증 정보가 없는 경우

By Sungjun Park
Java + Spring 에서 NestJS Style Auth Guard 만들기

Java

Development

Spring

Web

TicketWar

Java + Spring 에서 NestJS Style Auth Guard 만들기

PassportJava * 새로운 프로젝트에서 인증, 인가 과정에 Spring Security 를 사용하는 것이 적합하다는 의사결정을 내리기는 했으나, NestJS 를 통해 백엔드를 구현했던 입장에서는 Spring Security의 사용에 다소 불편함이 있었다. 때문에, Java + Spring 에서 NestJS Style (AuthGuard + Passport.js) 으로 인증 / 인가 프레임워크를 제작해보고 Spring Security 와의 장단점을 비교해보고자 했다. * 내가 구현하고자 하는

By Sungjun Park