작년에 XX카드 마이데이터 API 제공 프로젝트를 진행하면서 oauth 2.0 에 대한 부분을 많이 보았다. 마이데이터에서 인증방식은 Authorization Code, client credentials, password 방식을 사용하였다.(총 4개임, 마지막은 암시적 승인이라고.. ) 해당 프로젝트는 신용정보원, 인증기관, 사업자, 제공자 등 기관간의 연계를 보며 인증/인가를 통해 API를 주고받는 식이다. 또, 마이데이터 API 규격서에도 보면 좋은 내용들이 있고, 지금도 신규 사업자들이 생겨나고 있다. 모든 통신의 꽃은 결국 인증이다. 프로젝트 에서는 rhsso 를 사용하였는데(redhat에서 나온 제품, 오픈소스 keycloak base), token에 대한 설정들을 대시보드를 통해 매우 쉽게 컨..

스프링 시큐리티는 POST, PUT, DELETE 등의 method를 요청할 때 이전 페이지에 발급된 CSRF토큰 정보를 체크하기 때문에 해당 정보를 header 로 넘겨주어야 처리가 된다. GET은 상관없음! 어쨋든 테스트 API 를 만들고 postman으로 요청을 해보았는데 자꾸 403 forbidden 에러가 떨어진다. 그래서 CSRF token 이 발급되는 설정을 하고, API를 요청할 때 'X-XSRF-TOKEN' 이라는 이름의 헤더이름으로 token을 넣어주면 된다. CSRF Token 발급 설정 @EnableWebSecurity @Configuration public class SecurityConfig extends WebSecurityConfigurerAdapter{ @Override p..