JWT 상태 비저장 인증(여기에서 사용 가능)을 설정한 후 핵심 구성 요소와 해당 상호 작용을 식별하여 Spring Security의 추상화에서 어떤 일이 발생하는지 이해하고 싶었습니다. 이 탐색을 더욱 흥미롭게 만들기 위해 표준 HTTP 라이브러리를 사용하여 Go에서 최소 버전을 다시 구현했습니다. 등록, 토큰 생성, 보호된 리소스 액세스라는 세 가지 핵심 흐름을 세분화하고 이를 Go에서 다시 구축함으로써 Spring Security의 인증 패턴을 더 간단한 구성 요소에 매핑하기 시작했습니다.
이 게시물은 특히 인증보다는 인증 흐름(시스템이 사용자 신원을 확인하는 방법)에 중점을 둡니다. Spring Security 아키텍처의 다양한 구성 요소를 통해 요청을 추적하는 시퀀스 다이어그램을 사용하여 흐름을 살펴보겠습니다.
주요 구성품
시스템은 세 가지 엔드포인트를 제공합니다.
- 사용자 등록: 신규 사용자의 사용자 이름과 비밀번호를 허용합니다
- 토큰 생성(로그인): 사용자가 유효한 자격 증명으로 성공적으로 로그인하면 JWT 토큰을 생성합니다
- 보호된 액세스: 인증된 사용자가 토큰을 사용하여 보호된 리소스에 액세스할 수 있습니다. getAuthenticatedUser 엔드포인트는 인증된 토큰 보유자의 프로필 정보를 반환하는 예시로 사용됩니다
다음 섹션에서는 각 흐름에 관련된 핵심 구성 요소를 각 시퀀스 다이어그램과 함께 설명합니다.
등록 흐름
사용자 이름과 비밀번호가 포함된 등록 요청은 Spring Security 필터 체인을 통과합니다. 여기서 등록 엔드포인트는 SecurityConfiguration에서 인증을 요구하지 않도록 구성되었으므로 최소한의 처리가 발생합니다. 그런 다음 요청은 URL 패턴을 기반으로 UserController의 적절한 메서드로 라우팅되는 Spring의 DispatcherServlet을 통해 이동합니다. 요청은 UserController의 등록 엔드포인트에 도달하며, 여기에 사용자 정보는 해싱된 비밀번호
와 함께 저장됩니다.토큰 생성 흐름
사용자 이름과 비밀번호가 포함된 로그인 요청은 Spring Security 필터 체인을 통과합니다. 여기서 이 엔드포인트는 SecurityConfiguration에서 인증을 요구하지 않도록 구성되므로 최소한의 처리가 발생합니다. 요청은 Spring의 DispatcherServlet을 통해 AuthenticationManager에 위임되는 UserController의 로그인 끝점으로 이동합니다. ApplicationConfiguration에 정의된 구성된 빈을 사용하여 AuthenticationManager는 저장된 자격 증명에 대해 제공된 자격 증명을 확인합니다. 인증에 성공한 후 UserController는 JwtService를 사용하여 생성 시간과 같은 사용자 정보 및 메타데이터가 포함된 JWT 토큰을 생성합니다. 이 토큰은 후속 인증 요청을 위해 클라이언트에 반환됩니다.
보호된 리소스 액세스 흐름
성공적인 인증 흐름(200)
인증 흐름 실패(401)
Authorization 헤더에 JWT 토큰이 포함된 요청이 도착하면 JwtService를 사용하여 토큰을 처리하는 맞춤 정의 OncePerRequestFilter인 JwtAuthenticationFilter를 통과합니다. 유효한 경우 필터는 ApplicationConfiguration에 구성된 UserDetailsService를 통해 사용자를 검색하고 SecurityContextHolder에 인증을 설정합니다. 토큰이 누락되었거나 유효하지 않은 경우 필터는 인증을 설정하지 않고 요청을 계속하도록 허용합니다.
체인 후반부에 AuthorizationFilter는 SecurityContextHolder를 통해 요청이 제대로 인증되었는지 확인합니다. 누락된 인증을 감지하면 AccessDeniedException이 발생합니다. 이 예외는 사용자가 익명인지 확인하고 SecurityConfiguration에 구성된 JwtAuthenticationEntryPoint에 위임하여 401 Unauthorized 응답을 반환하는 ExceptionTranslationFilter에 의해 포착됩니다.
모든 필터가 통과하면 요청은 Spring의 DispatcherServlet에 도달하여 이를 UserController의 getAuthenticatedUser 엔드포인트로 라우팅합니다. 이 엔드포인트는 필터 체인 프로세스 중에 채워진 SecurityContextHolder에서 인증된 사용자 정보를 검색합니다.
참고: Spring Security는 다양한 보안 문제를 처리하기 위해 풍부한 필터 생태계와 전문 구성 요소를 사용합니다. 핵심 인증 흐름을 이해하기 위해 JWT 토큰 검증 및 사용자 인증의 핵심 플레이어에만 집중했습니다.
Go 구현: 구성 요소 매핑
Go 구현은 주요 Spring Security 구성 요소에 매핑되는 단순화된 아키텍처를 통해 유사한 기능을 제공합니다.
필터체인
- Spring Security 필터 체인의 최소 버전 제공
- 요청마다 필터를 순차적으로 처리합니다
- 스레드 안전을 위해 요청별 체인 인스턴스(VirtualFilterChain)를 사용합니다.
디스패처
- Spring의 DispatcherServlet에 매핑
- 보안 필터 처리 후 적절한 핸들러로 요청 라우팅
인증 컨텍스트
- Go의 컨텍스트 패키지를 사용하여 요청별 인증 상태를 저장합니다
- Spring의 SecurityContextHolder에 매핑
Jwt필터
- Spring의 JwtAuthenticationFilter와 직접 동일
- JWT 토큰 추출 및 유효성 검사
- 성공적인 검증 시 인증 컨텍스트를 채웁니다
인증필터
- Spring AuthorizationFilter의 단순화된 버전
- 본인인증에만 집중
- 인증 컨텍스트를 확인하고 누락된 경우 401을 반환합니다
Jwt서비스
- Spring의 JwtService와 유사
- 토큰 생성 및 검증 처리
- 동일한 핵심 JWT 작업을 사용하지만 구성이 더 간단합니다
테스트 범위
두 구현 모두 주요 인증 시나리오를 확인하는 통합 테스트(auth_test.go 및 AuthTest.java)를 포함합니다.
등록 흐름
- 유효한 자격 증명으로 사용자 등록 성공
- 중복된 사용자 이름 등록 시도
로그인 흐름
- 유효한 자격 증명으로 로그인 성공
- 존재하지 않는 사용자 이름으로 로그인 시도
- 잘못된 비밀번호로 로그인 시도
자원 액세스 보호
- 유효한 토큰으로 접속 성공
- 인증 헤더 없이 액세스 시도
- 잘못된 토큰 형식으로 액세스 시도
- 만료된 토큰을 사용한 액세스 시도
- 유효한 토큰 형식으로 접속을 시도했지만 존재하지 않는 사용자
Java 구현에는 Spring Security의 필터 체인을 통해 각 테스트 시나리오의 흐름을 설명하는 자세한 설명이 포함되어 있습니다. 이러한 동일한 흐름은 동등한 구성 요소를 사용하여 Go 구현에서 복제됩니다.
여행 요약
Spring Security의 JWT 인증을 흐름과 테스트 케이스로 나누어 살펴봤습니다. 그런 다음 이러한 패턴을 Go 구성 요소에 매핑했습니다. 통합 테스트를 통해 요청이 Spring Security의 필터 체인 및 구성 요소를 통해 어떻게 흐르는지 보여주었습니다. 이러한 패턴의 간단한 버전을 구축하는 것은 Spring Security의 디자인을 이해하는 데 도움이 되었습니다. 테스트를 통해 두 구현 모두 동일한 방식으로 인증을 처리한다는 것이 입증되었습니다. 분석, 테스트, 재구축을 통해 Spring Security의 인증이 어떻게 작동하는지 더 깊이 이해하게 되었습니다.
위 내용은 JWT 인증 이해: Spring Securitys 아키텍처 및 Go 구현의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

보안 통신에 널리 사용되는 오픈 소스 라이브러리로서 OpenSSL은 암호화 알고리즘, 키 및 인증서 관리 기능을 제공합니다. 그러나 역사적 버전에는 알려진 보안 취약점이 있으며 그 중 일부는 매우 유해합니다. 이 기사는 데비안 시스템의 OpenSSL에 대한 일반적인 취약점 및 응답 측정에 중점을 둘 것입니다. DebianopensSL 알려진 취약점 : OpenSSL은 다음과 같은 몇 가지 심각한 취약점을 경험했습니다. 심장 출혈 취약성 (CVE-2014-0160) :이 취약점은 OpenSSL 1.0.1 ~ 1.0.1F 및 1.0.2 ~ 1.0.2 베타 버전에 영향을 미칩니다. 공격자는이 취약점을 사용하여 암호화 키 등을 포함하여 서버에서 무단 읽기 민감한 정보를 사용할 수 있습니다.

이 기사는 프로파일 링 활성화, 데이터 수집 및 CPU 및 메모리 문제와 같은 일반적인 병목 현상을 식별하는 등 GO 성능 분석을 위해 PPROF 도구를 사용하는 방법을 설명합니다.

이 기사는 GO에서 단위 테스트 작성, 모범 사례, 조롱 기술 및 효율적인 테스트 관리를위한 도구를 다루는 것에 대해 논의합니다.

이 기사는 단위 테스트를 위해 이동 중에 모의와 스터브를 만드는 것을 보여줍니다. 인터페이스 사용을 강조하고 모의 구현의 예를 제공하며 모의 집중 유지 및 어설 션 라이브러리 사용과 같은 모범 사례에 대해 설명합니다. 기사

이 기사에서는 GO의 제네릭에 대한 사용자 정의 유형 제약 조건을 살펴 봅니다. 인터페이스가 일반 함수에 대한 최소 유형 요구 사항을 정의하여 유형 안전 및 코드 재사성을 향상시키는 방법에 대해 자세히 설명합니다. 이 기사는 또한 한계와 모범 사례에 대해 설명합니다

이 기사는 코드의 런타임 조작, 직렬화, 일반 프로그래밍에 유리한 런타임 조작에 사용되는 GO의 반사 패키지에 대해 설명합니다. 실행 속도가 느리고 메모리 사용이 높아짐, 신중한 사용 및 최고와 같은 성능 비용을 경고합니다.

이 기사는 추적 도구를 사용하여 GO 응용 프로그램 실행 흐름을 분석합니다. 수동 및 자동 계측 기술, Jaeger, Zipkin 및 OpenTelemetry와 같은 도구 비교 및 효과적인 데이터 시각화를 강조합니다.

이 기사는 테스트 케이스 테이블을 사용하여 여러 입력 및 결과로 기능을 테스트하는 방법 인 GO에서 테이블 중심 테스트를 사용하는 것에 대해 설명합니다. 가독성 향상, 중복 감소, 확장 성, 일관성 및 A와 같은 이점을 강조합니다.


핫 AI 도구

Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱

AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.

Undress AI Tool
무료로 이미지를 벗다

Clothoff.io
AI 옷 제거제

AI Hentai Generator
AI Hentai를 무료로 생성하십시오.

인기 기사

뜨거운 도구

드림위버 CS6
시각적 웹 개발 도구

맨티스BT
Mantis는 제품 결함 추적을 돕기 위해 설계된 배포하기 쉬운 웹 기반 결함 추적 도구입니다. PHP, MySQL 및 웹 서버가 필요합니다. 데모 및 호스팅 서비스를 확인해 보세요.

ZendStudio 13.5.1 맥
강력한 PHP 통합 개발 환경

메모장++7.3.1
사용하기 쉬운 무료 코드 편집기

DVWA
DVWA(Damn Vulnerable Web App)는 매우 취약한 PHP/MySQL 웹 애플리케이션입니다. 주요 목표는 보안 전문가가 법적 환경에서 자신의 기술과 도구를 테스트하고, 웹 개발자가 웹 응용 프로그램 보안 프로세스를 더 잘 이해할 수 있도록 돕고, 교사/학생이 교실 환경 웹 응용 프로그램에서 가르치고 배울 수 있도록 돕는 것입니다. 보안. DVWA의 목표는 다양한 난이도의 간단하고 간단한 인터페이스를 통해 가장 일반적인 웹 취약점 중 일부를 연습하는 것입니다. 이 소프트웨어는

뜨거운 주제



