springsecurity1 스프링부트 JSESSIONID URL 노출 문제 해결하기 feat.Oauth2 문제 상황Spring Boot에서 OAuth2 소셜 로그인을 구현하던 중, 세션이 만료된 상태에서 로그인을 시도하면 계속해서 알 수 없는 에러가 나는 것을 확인하였습니다. nginx 로그를 통해 원인을 분석한 결과 JSESSIONID가 URL에 노출되는 문제 때문에 oauth2 로그인 과정이 거절 되었다는 것을 알 수 있었습니다. 문제가 발생했던 Oauth2 URLhttps://example.com/oauth2/authorization/kakao;jsessionid=6A536F40C07B383860906AB325E68945 위 url의 끝에 jsessionid가 붙어있는것을 확인할 수 있고 이러한 URL rewriting은 보안상 취약점이 될 수 있으며, oauth2 url에 불필요한 jsessionid.. 2024. 10. 29. 이전 1 다음
