로그인 처리 문의
- 작성자 :
- 신*배
- 작성일 :
- 2010-03-07 12:45:49
- 조회수 :
- 4,194
- 구분 :
- 공통컴포넌트
- 진행상태 :
- 완료
Q
EgovLoginController를 보면 j_spring_security_check으로 redirect하도록 되어 있는데, URL에 password 정보가 노출되어도 보안상 문제가 없을까요?
return "redirect:/j_spring_security_check?j_username=" + resultVO.getUserSe() + resultVO.getId() + "&j_password=" + resultVO.getUniqId();
redirect하기전에 보안정책등을 처리하고 있는데, 위 URL만 알면 redirect전에
보안정책 등의 처리로직은 스킵할 수 있을 것 같은데요.
물론 소스를 보니 실제 패스워드대신 uniqId를 사용하도록 되어 있기는 한데,
이경우 spring security가 제공하는 authenticationProvider의
passwordEncoding 속성등도 사용할 수도 없을 것 같고요.
return "redirect:/j_spring_security_check?j_username=" + resultVO.getUserSe() + resultVO.getId() + "&j_password=" + resultVO.getUniqId();
redirect하기전에 보안정책등을 처리하고 있는데, 위 URL만 알면 redirect전에
보안정책 등의 처리로직은 스킵할 수 있을 것 같은데요.
물론 소스를 보니 실제 패스워드대신 uniqId를 사용하도록 되어 있기는 한데,
이경우 spring security가 제공하는 authenticationProvider의
passwordEncoding 속성등도 사용할 수도 없을 것 같고요.
A
안녕하세요.. 신현배님..
공통컴포넌트 부분에서 적용한 방식을 질문에 올려 주신 redirect 부분으로 Spring Security를 연동하기 전에
로그인 인증처리를 먼저 합니다. (다음 라인 참조)
LoginVO resultVO = loginService.actionLogin(loginVO);
그리고 j_password부분에는 uniqId를 지정하였기 로그인 처리는 되는 방식입니다..
이 부분은 말씀하신 passwordEncoding 속성을 적용하실 수 있습니다. 다만, context-security.xml에 정의되어 있는 query를 그에 맞에 수정하시면 됩니다.
그리고 패스워드 노출 부분은 별도의 SSO와 같은 솔루션이 도입되지 않으면 입력된 패스워드가 그대로 서버로 전달되기 때문에 피할 수 없는 문제입니다.
이 경우 SSL 적용을 통해 어느 정도 보안을 유지할 수 있습니다.
그럼.. 즐거운 하루 되십시오.
감사합니다.
공통컴포넌트 부분에서 적용한 방식을 질문에 올려 주신 redirect 부분으로 Spring Security를 연동하기 전에
로그인 인증처리를 먼저 합니다. (다음 라인 참조)
LoginVO resultVO = loginService.actionLogin(loginVO);
그리고 j_password부분에는 uniqId를 지정하였기 로그인 처리는 되는 방식입니다..
이 부분은 말씀하신 passwordEncoding 속성을 적용하실 수 있습니다. 다만, context-security.xml에 정의되어 있는 query를 그에 맞에 수정하시면 됩니다.
그리고 패스워드 노출 부분은 별도의 SSO와 같은 솔루션이 도입되지 않으면 입력된 패스워드가 그대로 서버로 전달되기 때문에 피할 수 없는 문제입니다.
이 경우 SSL 적용을 통해 어느 정도 보안을 유지할 수 있습니다.
그럼.. 즐거운 하루 되십시오.
감사합니다.
