- 시큐리티 로그인 요청하면 파라미터를 시큐리티가 가로채기함
- 로그인 진행완료하면 시큐리티 전용 세션에 유저정보를 등록(Ioc)
- UserDetails 타입으로 정해져있음- User 오브젝트가 UserDetails를 extends를 하는 방법
- 유저정보를 DI로 주입받아 사용가능
- password를 해쉬로 암호화해야 로그인 가능 시큐리티에서 막아놓음
- new BCryptPasswordEncoder()가 리턴하는 값을 스프링이 관리해줌(Ioc)
- xss 자바스크립트 공격 <script>막기
- csrf 공격 : 예) 관리자에게 링크보내 권한 admin으로 들어가게 해서 조작
-> post방식으로 하면 하이퍼링크로 공격못함
-> referrer 검증: 같은 도메인 상에서 요청이 들어오지 않으면 차단
-> csrf 토큰: 랜덤한 수를 사용자의 세션에 저장하여 사용자의 모든 요청에 대하여 서버단에서 검증
http.csrf().disable() 토큰 비활성화 (테스트시)