권지후 5주차 과제 제출

[jihoo2002]

Description

사용자 관점에서의 로그인 과정 흐름 (참고한 사진)

서버가 로그인한 사용자를 인식하는 방식 (참고한 사진)

Important content

• 이해가 부족하거나 틀린 설명이 있는지 봐주시면 감사하겠습니다 !

Reference

Session과 JSESSIONID
Spring Security : 세션 고정 보호
최인호 코어님 강의자료도 참고하였습니다.

[inhooo00]

꼼꼼한 설명 감사합니다! 그림과 예시 메서드나 api로 설명하신 게 인상깊네요!

대부분 맞는 내용이지만 한번쯤 생각해보면 좋을 내용 남겨드리겠습니당

1. 만약 설명하신 방법대로 진행해서 생긴 세션 ID가 담겨 있는 쿠키를 다른 api를 호출할 때 임의로 수정할 경우엔 어떤 일이 벌어질까요?
   (포스트맨에서 JSESSIONID값을 수정하거나 하나만 지운 뒤에 무슨 값이 전달되는지 확인해보면 좋겠습니다)

[jihoo2002]

넹 세션 쿠키의 값을 임의로 수정해서 프로필 api 요청 보내봤더니 403 에러가 발생했습니다.
이는 Spring Security는 세션 쿠키를 기반으로 인증을 수행하는데, 요청 들어온 JSESSIONID이 잘못되었거나 유효하지 않으면
인증에 실패하게 되고 사용자가 요청한 리소스에 접근할 권한이 없다고 판단해 403 Forbidden을 반환하는 걸 확인할 수 있었습니다.