종이 한 장 차이...

spring security에 csrf 설정을 한경우 ajax요청을 post로 하면 404가 발생한다. 이를 해결하려면 spring security에서 발행한 csrf token을 ajax요청 header에 담아 보내면 된다. 1. 설정: 공통으로 모든 화면에 인클루드 되는 파일에 아래와 같이 설정. 예를 들면 head_css.jsp라는 파일을 만들고 모든 화면에 공통으로 로딩되도록 설정 후 아래 소스를 삽입한다. 2. 사용: js파일 또는 script에서 아래와 같이 사용. function ajaxCsrfTest(){ var params ={ a : 'a' ,b : 'b' }; $.ajax({ type : "POST", url : ctx + "/front/saveTest", data : params, ..

WAS 서버의 timeout 설정 외에 war별? 애플리케이션에 별도 session timeout 설정이 필요한 경우... 1. 스프링 씨큐리티 설정 파일에 로그인 성공 시 후처리용 헨들러를 설정한다. public class WebSecurityConfig extends WebSecurityConfigurerAdapter{ /**로그인성공 후처리용 헨들러 * @return */ private SuccessHandlerImpl successHandler() { return new SuccessHandlerImpl(); } ...생략... @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests..

spring security에 csrf를 설정하여 사용할 경우 특정 URL 외부 프로그램등에서 POST방식으로 서버에 접근(호출)을 하면 403 에러가 발생한다. 이런 경우 해당하는 특정 URL만 csrf적용을 받지 않도록 예외 처리를 해주어야 한다. 아래 소스코드의 http.csrf(). ignoringAntMatchers("/callBackPush/**")//csrf예외처리 부분이 특정 URL패턴만 예외 처리한 부분이다. @Override protected void configure(HttpSecurity http) throws Exception { http.authorizeRequests() .antMatchers( "/resource/**", "/login", "/join/**", "/login-..

springboot에 spring security를 적용한 경우 세션이 종료된 상태일 때 기본적으로 모든 요청(request)에 대해 login페이지로 전환된다. 이럴 경우 문제는 세션이 종료된 이후 ajax요청이 오면 302(리다이렉트) 처리가 되며, ajax요청에 대한 결과는 200.OK 가 된다. 하여... ajax요청 스크립트 내에서 세션 타임아웃으로 처리를 하는 방법을 구글링 해 보았으나 음... 없는 것 같다... 검색해서 나오는 방법은 spring security설정으로 ajax요청을 구분하여 결과를 리턴하는 방법이 대부분이었다. 아래 구글링 해보고..., 테스트해 보고..., 실사용 환경에도 적용한 내용을 정리한다. 1. 환경. - springboot2.x - spring-security5..