출처: http://linux.systemv.pe.kr/tomcat-%EC%97%90%EB%9F%AC-%EC%A0%95%EB%B3%B4-%EC%88%A8%EA%B8%B0%EA%B8%B0/ Java 애플리케이션을 작성할때에 에러 발생시 보여줄 에러 페이지를 설정할 수 있습니다. 웹 애플리케이션 설정 파일인 web.xml 파일에 다음과 같이 해줍니다.web.xml 파일에 에러 페이지 설정XHTML12345678 404 /error/404.jsp 500 /error/500.jsp단순하게 HTTP 응답코드 뿐만 아니라 Java Exception 객체에 따른 에러도 설정할 수 있습니다.web.xml 에 Exception 에러 페이지 설정.XHTML12345678 java.lang.Throwable /error/e..

JWT(JSON Web Token)을 이용한 API 인증 - #1 개념 소개조대협 (http://bcho.tistory.com) REST API에 대한 보안과 인증이 화두가 되면서 많이 언급되는 것이 OAuth인데, 근래에 들어서 화두가 되고 있는 것이 JWT (JSON Web Token)이라는 표준이다. Claim기반 토큰의 개념 OAuth에 의해서 발급되는 access_token은 random string으로 토큰 자체에는 특별한 정보를 가지고 있지 않는 일반적인 스트링 형태 이다. 아래는 페이스북에서 발급된 access_token의 형태로 일반적인 문자열 형태임을 확인할 수 있다. API나 서비스를 제공하는 서버 입장에서 그 access_token을 통해서 사용자에 연관된 권한(예를 들어 scope..

출처: http://ohgyun.com/470 키워드: OAuth 문제: 보안은 늘 어려운 것 같다.잘 정리된 문서를 찾기도 어렵고, 있다 하더라도 난 좀 이해하기 어렵더라. @_@ 이번에 OAuth 인증 처리가 필요하던 차에, 한빛 소프트에서 나온 EBook을 보게 됐다.오잉~~ 쉽게 설명되어 있어서 참 좋더라. :D http://www.hanb.co.kr/ebook/look.html?isbn=9788979149944 책 읽으면서 정리해둔 게 있어 옮겨둔다. 해결책: 서버사이드 웹 애플리케이션 1. 권한 서버로 권한 코드 요청하기 요청 URL 예: https://accounts.google.com/o/oauth2/auth client_id: 등록한 애플리케이션의 아이디redirect_uri: 권한 코드..

출처: http://woony5231.tistory.com/entry/%EB%A7%88%EC%9D%B4%ED%94%8C%EB%9E%AB%ED%8F%BC%EC%9D%B4%EB%9E%80 마이플랫폼(MiPlatform)은 클라이언트/서버 환경의 웹의 클라이언트 환경을 대체할 대표적인 대안인 X-Internet 기반의 제품으로 국내 유일의 유무선 통합 UI 개발/운용 환경이다. 포레스트 리서치가 주창한 X-인터넷 개념 (eXecutable은 물론 eXtended Internet까지 확장된 개념)을 가장 완벽하게 재현해낸 솔루션으로 4GL 수준의 강력하고 풍부한 사용자 인터페이스(UI) 및 용이한 애플리케이션 개발 환경을 제공하고, 한번의 응용프로그램 개발로 웹은 물론 PDA, Smart Phone 등 다양한 ..

출처 : http://fendee.egloos.com/7097191 삭제 방지용으로 내용 붙여 넣는다. 전송방식 : 쿼리 스트링: IP주소 : 브라우저 : 로그온ID : 서버 포트 : 웹 서버 : 출력결과:전송방식 : POST 쿼리 스트링: t2=t2&t3=t3 IP주소 : 127.0.0.1 브라우저 : Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727) 로그온ID : -------------------------------------------------------------------------------- 서버 포..

출처: http://visu4l.tistory.com/419 Tomcat 혹은 그외에 웹서버에 SSL을 적용시키기 전에 개발자들이 테스트용으로 사용하는 Trial SSL에 대해 설명한다. 1. 테스트 인증서 생성 명령어 : keytool -genkey -keyalg rsa -alias [Alias_Name] -keystore [KeyStore_File_Name] keytool 명령은 java jdk 디렉토리 하위 bin 디렉토리에 있다. path가 지정되어있지 않으면 해당 디렉토리로 이동후 실행하거나 절대경로로 실행해주어야 한다.저는 path가 지정되어 있어 keytool 명령어로 실행한다. 인증서 생성시 물어보는 질문들은 다음과 같다. > 키저장소 비밀번호 입력> 새 비밀번호 다시 입력:> 이름과 성을..

출처:https://geekflare.com/apache-tomcat-hardening-and-security-guide/ Apache Tomcat Hardening and Security Guide Tomcat is one of the most popular Servlet and JSP Container servers. It’s used by some of following high traffic websites:LinkedIn.comDailymail.co.ukComcast.netWallmart.comReuters.comMeetup.comWebs.comBelow diagram shows the market position of Tomcat in terms of popularity and traffic ..

출처: http://syaku.tistory.com/278 개발환경Mac OS X 10.9.4 JAVA 1.6 Apache Tomcat 7.x Spring 3.1.1 Spring Tool Suite 3.5.1 Maven 2.5.1스프링 시큐리티(Spring Security)는 스프링 서브 프로젝트 중 하나로 스프링 기반의 어플리케이션을 보호하기 위한 필수적인 프레임워크이다. 스프링을 사용하면서 자체적으로 세션을 이용한 인증방식을 구현한다면 바보같은 짓일 것이다. 스프링 시큐리티는 보안을 체계적으로 관리하며 개발한 스프링 어플리케이션들과 유연하게 연결된다. 그리고 오랜기간 다양한 피드백으로 개발되어 신뢰도가 높을 것이다. 스프링에 최적화된 스프링 시큐리티 보다 안정적인 프레임워크는 아마 없을 것이다. 무엇..

출처: http://springmvc.egloos.com/516241 로그아웃 커스터마이징 이제 로그아웃 페이지를 커스터마이징 해볼까 합니다. 만약 로그아웃 주소를 커스터마이징 하지 않는다면 기본적으로 "/j_spring_security_logout"이란 URL을 통해 사용자의 권한을 해제하는 작업을 시작할 수 있습니다. 그러나 이런 눈에 뻔히 보이는 URL을 이용하면 악의적인 공격자가 해당 어플리케이션의 보안이 스프링 시큐리티로 이루어진 것을 알아채고 쉽게 보안취약점을 찾아낼 지도 모릅니다. 에 다음과 같은 요소를 추가함으로서 손쉽게 로그아웃 경로를 커스터마이징 할 수 있습니다. invaldate-session : 세션을 모두 무효로 할 것인지를 사용자에게 묻습니다. logout-url : 로그아웃 경..