Java

[Java] InvalidKeyException AES 256 암호화 에러

● Java 암호화 키 길이 정책 Java에서 AES 256 암호화 복호화 방식을 구현하다 보면 java.security.InvalidKeyException: Illegal key size예외가 발생하는 경우가 있다. Java에서는 기본적으로 128bit (16byte)로 키 길이를 제한해뒀고, 기본 키 길이를 초과하는 경우 예외가 발생한다. 컴퓨터 세팅을 하면서 Java JDK 설치 후 환경설정을 하는데 JDK안에 해당 버전의 Java 정책이 포함되어있다. Java는 기본적으로 JCE (Java Cryptography Extension) 암호화 정책을 제공한다. /jre/lib/security/local_policy.jar안에 default_local.policy 파일 안에서 확인할 수 있다. gran..

[SpringBoot] SOP, CORS 이야기

CORS 이슈는 프론트 서버와 백엔드 서버가 분리되어 있다면 1번쯤은 꼭 만나는 이슈이다. CORS를 먼저 이야기하기전에 SOP에 대해서 이야기해 볼 예정이다... ● SOP (Same Origin Policy) 말 그대로 "같은 출처 정책"이다. 출처?????? 출처가 무엇인가? Origin (출처)란? - URI 스키마 (http, https) - 호스트 (person.jjhserverworld.pe.kr, localhost, naver.com... ) - 포트 (8080, 18080, 80) 위 3가지의 조합이 출처 이다.!! 먼저, Spring-boot에서는 기본적으로 아무것도 설정하지 않는다면 SOP 정책을 따른다. 즉, 자바스크립트 엔진 표준 스펙의 정책으로 호스트, 포트, 프로토콜이 같은 요..

[SpringBoot] Security 인증 절차 시 DB Access 여러번 일어나는 이슈.

● 이슈 발생 시점 SpringSecurity를 이용해 JWT 인증/인가 절차를 CustomTokenProvider, CustomUserDetailsService를 정의하여 개발하고 있었다. 1. 정상적인 아이디와 비밀번호로 인증 요청이 오면 DB에 유저가 있는지 확인하는 CustomUserDetailsService.loadUserByUsername()이 1번만 실행됨. ( 예상한 로직과 실제 정상적인 로직 ) 2. 비정상적인 아이디와 비밀번호로 인증 요청이 오면 CustomUserDetailsService.loadUserByUsername()이 여러 번 실행됨 ( 예상하지 못한 로직과 비정상적인 로직.... ) ● 분석 1. Provider의 authenticate는 ProviderManager에서 호..

[SpringBoot] UserDetailsService UserNotFoundException 안되는 이유

● 이슈 발생 시점 Spring Security + JWT를 이용해 인증, 인가 기능을 구현하던 중 UserDetailsService에서 loadUserByUsername함수에서 id로 DB 조회 시 데이터베이스에서 찾을 수 없으면 UsernameNotFoundException을 Throw 하게 되어있는데 BadCredentialsException으로 리턴되고 있었다. 왜 그런지 궁금하여 분석 후 포스팅한다. ● 분석 AuthenticationManager에 UserDetailsService를 등록해주면 기본적으로 DaoAuthenticationProvider가 등록해준 UserDetailsService를 가지고 있게 된다. 그리고 AbstractUserDetailsauthenticationProvide..

[SpringBoot] 종속성 순환 에러 트러블슈팅

AOP (Aspect Oriented Programming)를 공부하다가 "종속성 순환 에러"가 발생하였다. 해당 이슈에 대해 슈팅해보겠다. ● 트러블 이슈 각 메서드 ( Controller, Service, Repository )에서 처리 시간을 처리하는 AOP를 만드는 도중 아래 에러 메시지가 발생하였다. The dependencies of some of the beans in the application context form a cycle: memberController defined in file [C:\Users\pc\Desktop\hello-spring\hello-spring\out\production\classes\hello\hellospring\controller\MemberControl..

[SpringBoot] StereoType, @Component과 @Bean 차이점

이번 포스트에서는 @Bean과 @Component 어노테이션의 차이점을 알아볼 것이다. @Component로 지정된 클래스들은 모두 스프링에서 Bean으로 등록된다. @Component 어노테이션은 스프링 컨테이너에서 사용되는 StereoType인데 먼저 StereoType이란 무엇인지 살펴본다. StereoType이란? StereoType의 의미는 "고정관념". "정형화된 생각"이라고 한다. 스프링에서는 스프링 컨테이너가 관리 컴포넌트로 식별할 수 있게 해주는 마커 같은 의미를 지닌다. 이전 버전에서는 XML 파일에 Bean들을 모두 명시하여 관리하고 있었다. 하지만 이러한 관리는 XML 파일의 거대화를 막지 못하였다. 그래서 아래의 버전부터 어노테이션이 등장하기 시작했다. Spring 2.0 : @R..

[Java] Log4j 원격코드실행 이슈 JNDI injection

2021-12-12일 갑작스럽게 뉴스에 "역사상 최대의 취약점 발견"이라는 문장으로 혼란스러운 소식이 들렸다. 어떤 이슈인가 알아보니 Log4j 에드온에서 원격코드를 실행할 수 있는 이슈였다.... log4j 에드온은 현시점에 JAVA를 사용하고 있는 인터넷 서비스 중 대부분이 사용하는 에드온이다. 그 말은 즉 모든 서비스에서 취약점이 발생할 수 있다는 점.. ● Log4j 란? Log4j는 Apache Software Foundation에서 개발한 인기 있는 Java 로깅 프레임 워크이다. ● 이슈 Apache Log4j 2.x ver에서 발생하는 취약점 (CVE-2021-44228)을 통해서 원격코드 실행이 가능한 이슈. CVE-2021-44228 취약점은 CVSS Score 10으로 가장 높은 취약..

[Java] CheckedException과 UncheckedException이야기

이번 포스트에서는 Exception에 대한 이야기를 써보려고 한다. 요즘 프로그래밍을 배우는 개발자들을 보면 Exception의 처리를 중요시하지 않는 경우가 많다. 또 Exception이 무엇인지 질문하게 되면 제대로 대답하는 이들이 적다. 단순히 Exception 암기 방식으로 몇가지 예외를 외우고 해당 서비스를 구현할 때 try/catch문을 사용하는 공식적인 공부를 하는 것 같다. 이 포스트를 통해 Exception에 대해 알아보자. 먼저 Error와 Exception이 무엇이 다른지를 알아야 한다. ● Error와 Exception는 어떻게 다를까? 오류(Error)는 시스템 레벨에서 발생하며 심각한 수준의 오류이다. 시스템에 비정상적인 상황이 발생한 경우이며, 개발자가 미리 예측하여 대비할 수..