프로젝트1 로그인한 유저A가 유저B의 정보에 접근할 수 있는 문제 상황 ssafy@ssafy.com으로 로그인한 유저가 다른 유저의 정보를 수정할 수 있음 원인 데이터를 수정할 유저 객체를 클라이언트에서 받아와서 조회함으로 발생!(클라이언트가 보내는 정보는 변조가 가능해서 믿지말자….!) 해결방법 유저 정보가 필요한 경우 컨트롤러에서 Authentication 을 받아서 사용한다. Authentication : 스프링 시큐리티에서 인증에 필요한 유저정보를 담은 객체로 인증이 완료된 Authentication 은 SecurityContextHolder에 저장되고 컨트롤러에서 받아올 수 있다. Authentication.getPrincipal() 로 사용자 식별정보인 UserDetails 를 받아올 수 있다 userDetails.getUsername() 으로 로그인한 유저.. 2023. 4. 12. 이전 1 다음
