박재형 / IT 개발 공부

https://wogud.tistory.com/186로그인 기능 자세하게 적어놓음 ( 비밀번호 해싱 ) 1단계: 기본 로그인 기능 및 JWT 발급1.로그인 기능 작성,  JWT 생성 유틸리티 작성 (JwtUtil.java) serviceImpl@Servicepublic class AuthServiceImpl implements AuthService { private final AuthMapper authMapper; private final PasswordEncoder passwordEncoder; @Autowired public AuthServiceImpl(AuthMapper authMapper, PasswordEncoder passwordEncoder) { this.authMapper = auth..

1. session 유저가 로그인하면 서버가 유저한테입장권 발급 -> 사이트에서 어떤 행동을 할 때마다 입장권 제출 입장권에 들어가있는 정보가 거의 없음 ( 발급번호 하나 )세션스토어에 있는 발급번호를 조회해서 문제 없으면 통과  2. token입장권에 들어가있는 정보가 많음입장권만 조회하고 문제없으면 통과 => token 방식이 서버에 부담이 덜하다     session은 회원이 많아질수록 부담이 간다. 장점 : 토큰 위변조가 불가능 서버에 토큰 저장할 필요가 없고 검증해서 안전하면 바로 데이터 꺼내쓰면 됌.   jwt는 대충 만들면 심각한 보안이슈가 생김 문제 1 : alg : none 공격  alg를 none으로 변조 후에 변조된 토큰을 사용하면 토큰 자체에 문제가 없다고 판단하고 보안이 뚫리는 경..