스프링부트로 만든 서비스에서 다음과 같은 조건을 만족하려고 한다. 전제 : 스프링부트 + 코틀린(Kotlin) API에 받는 RequestBody의 모델에 비밀번호 필드를 포함한다. 비밀번호 필드는 Custom validation 어노테이션을 통해 검증을 한다. 정상적으로 동작하는지 단위테스트를 만든다. 해당 테스트에는 @BeforeAll, @AfterAll을 사용한다. 먼저 테스트를 작성해보자 Custom validation 어노테이션을 검증하기 위한 유닛테스트를 만들어야 하기에 Validator를 사용해서 검증해야 한다. internal class UserPasswordModelTest { lateinit var validatorFactory: ValidatorFactory lateinit var v..

PC에서 개발한 API를 로컬 서비스로 띄워서 공유하고 싶을 때 어떻게 할까? 필자의 경우, ngrok을 사용한다. 방화벽 넘어서 외부에서 로컬에 접속 가능하게 하는 터널 프로그램이다. 쉽게 외부로부터 접근을 할 수 있고, 활용 범위도 넓어서 많은 개발자가 사용한다. 그런데 기본적인 사용에 있어서 꺼림찍한 부분도 있다. 공유 URL만 있으면 누구나 접근이 가능하다는 것. 생각해보았다. ngrok에는 분명 이런 경우를 고민해서 인증절차를 만들어 놓았을 것이라고. 아니나 다를까 ID/Password 형태로 접근을 제한하는 방식이 있었다. 그 방법을 공유해보고자 한다. ngrok - Online in One Line Zero Trust Add SSO, Mutual TLS, IP Policy, and webho..

공인인증서가 생긴 배경과 그 위험성은?위 내용을 조사하면서 느낀 점 디지털 서명의 일종인 공인인증서, 먼저 공인인증서의 원리를 이해하고자 했다.공인 인증 기관으로부터 본인 인증하기 위해 사용자의 인증서 파일(.der)과 개인키(.key)를 사용한다.개인키는 사용자가 필요시 다시 복호화하여 사용하도록 대칭키 알고리즘을 이용한다.대칭키 알고리즘에 사용하는 암호화 키는 공인인증서 비밀번호이다.이 비밀번호는 해쉬 함수를 사용해서 얻은 출력값으로 암호화 키가 된다.Salt라는 방식을 통해 공인인증서 갱신시 동일한 비밀번호라고 하더라도 암호화 키는 변경이 된다. 만약 공인 인증서가 담겨있는 USB가 유출될 경우, 비밀번호를 바꾸는 것만으로는 아무런 소용이 없다. 분실한 기기에 저장된 패스워드는 변경되지 않기 때문이..