session-fixation-protection 설정
- 작성자 :
- 구*준
- 작성일 :
- 2014-02-21 13:54:30
- 조회수 :
- 1,223
- 구분 :
- 기타
- 진행상태 :
- 완료
Q
악의적인 사용자가 사이트에 접근하기 위한 세션을 만들고, 그 세션을 통해 다른 사용자로 로그인 하려고 하는 경우(예를 들어, 세션에 ID를 파라미터로 포함하여 전송하는 경우) Session fixation attack의 잠재적인 위험이 존재하게 된다. 스프링 시큐리티는 이러한 공격을 자동으로 막기 위하여 사용자 로그인 때마다 새로운 세션을 생성한다. 이러한 방지 기능이 필요하지 않거나, 다른 기능들과 충돌이 발생할 경우에는, <session-management>의 session-fixation-protection 속성값으로 동작을 제어할 수 있다.
이전에 session-fixation-protection 설정과 관련해 문의드린 익셉션 관련 내용을 스프링의 버전 문제로 해결은 되었습니다.
하지만 session-fixation-protection 설정이 여전히 먹히지 않는거 같습니다.
이것이 전자정부 프레임워크와 관련이 있는지 어떻게 해야 session-fixation-protection 설정을 사용할 수 있는지를 문의 드립니다.
혹시 전자정부 프레임워크랑 충돌이 나서 되지 않는건지 아니면 다른 어떤 설정때문인지가 궁금합니다.
web.xml이나 컨텍스트 xml에 관련 설정은 되어 있으며
스프링 3.2.1 전자정부 프레임워크 2.5로 되어있는 상태입니다.
이전에 session-fixation-protection 설정과 관련해 문의드린 익셉션 관련 내용을 스프링의 버전 문제로 해결은 되었습니다.
하지만 session-fixation-protection 설정이 여전히 먹히지 않는거 같습니다.
이것이 전자정부 프레임워크와 관련이 있는지 어떻게 해야 session-fixation-protection 설정을 사용할 수 있는지를 문의 드립니다.
혹시 전자정부 프레임워크랑 충돌이 나서 되지 않는건지 아니면 다른 어떤 설정때문인지가 궁금합니다.
web.xml이나 컨텍스트 xml에 관련 설정은 되어 있으며
스프링 3.2.1 전자정부 프레임워크 2.5로 되어있는 상태입니다.
A
안녕하세요. 구경준님
표준프레임워크 2.5 버전은 스프링 3.0.5 버전을 기반으로 배포되고 있습니다.
또한 egovframework.rte.fdl.security-2.5.0.jar에 Dependency 가 org.springframework.security 2.0.4 버전으로 되어 있습니다.
하위 호환성을 위해 시큐리티 부분은 스프링 시큐리티 3버전으로 올리지 않았습니다.
해당 egovframework.rte.fdl.security-2.5.0.jar을 있으시다면 삭제하시고, 사용하시면 될 듯 합니다.
스프링 3.2.1 버전은 표준프레임워크에서 제공하는 템플릿 프로젝트(템플릿, 공통컴포넌트, 예제 등)에서 동작이 정상적으로 되지 않을 수 있으니 참고하시기 바랍니다.
고맙습니다.
표준프레임워크 2.5 버전은 스프링 3.0.5 버전을 기반으로 배포되고 있습니다.
또한 egovframework.rte.fdl.security-2.5.0.jar에 Dependency 가 org.springframework.security 2.0.4 버전으로 되어 있습니다.
하위 호환성을 위해 시큐리티 부분은 스프링 시큐리티 3버전으로 올리지 않았습니다.
해당 egovframework.rte.fdl.security-2.5.0.jar을 있으시다면 삭제하시고, 사용하시면 될 듯 합니다.
스프링 3.2.1 버전은 표준프레임워크에서 제공하는 템플릿 프로젝트(템플릿, 공통컴포넌트, 예제 등)에서 동작이 정상적으로 되지 않을 수 있으니 참고하시기 바랍니다.
고맙습니다.
