회원 가입 리팩토링 및 테스트

[kmjkmj20055]

회원 가입 리팩토링 및 테스트

• SpringSecurity 부분은 지금 authorizeRequests()만 설정한 상태

  • 인증하지 않고 url 사용해도되지만, 안전하지 않은 데이터까지 허용되는거아님
  • 앞으로 form을 보내는 테스트 할 때는 반드시 CSRF token 값도 같이 보내야함

• 원래 기본적으로 CSRF token라는 security 기능이 활성화 되어있음

• CSRF token

  • 다른 웹에서 나한테 공격적으로 form data를 보내는 것을 방지하는 기술로 CSRF token 사용함

  • tymeLeaf template을 만들면 tymeLeaf Template, spring security, spring MVC 조합이 되서 csrf token을 지원해줌

  • hidden 값으로 CSRF token 값이 같이 전송됨

  • 전송된 token값을 보고 내가 보내준 form에서 만든 데이터구나! 받아도 되는구나! 하고 form에서 온 데이터를 씀

  • 만약 CSRF token 값이 안오고 데이터만 왔다? or CSRF token 값이 다르다?

    • 403 ERROR -> 안전한 데이터가 아니다

  <input type="hidden" name="_csrf" value="935a05f0-fb0f-4ba9-9286-128a1b0c48a5">

• MockBean Annotation

  • MockBean으로 Mocking? 한다는건 또 뭔소리

  • 실제로 메일을 보냈는지를 확인했는 확인하는건 너무 자세하고 중간에 충분히 개발하면서 바뀔 수 있기 때문에

  SimpleMailMessage 타입의 인스턴스 아무거나 가지고 호출(send)이 되었는지 확인

  then(javaMailSender).should().send(any(SimpleMailMessage.class));

  • 만약 메일 보내는부분 없애면 에러남

  AccountController.java
  
  // javaMailSender.send(mailMessage);

• 리팩토링

  • signUpSubmit() 메서드에서 여러가지 역할을 해서 분리
  • controller 에 의존성이 높은 부분 Service 로 이동

• 필요한 부분 메소드 따로 뺄 때 (Extract Method) 단축키

  • Option + command + M

---

• 관련커밋 : 994e2d46a37c56e85e9d20c08af4c7a2c8e82e93

[kmjkmj20055]

• CSRF
  • CSRF 공격(Cross Site Request Forgery)은 웹 어플리케이션 취약점 중 하나로 인터넷 사용자(희생자)가 자신의 의지와는 무관하게 공격자가 의도한 행위(수정, 삭제, 등록 등)를 특정 웹사이트에 요청하게 만드는 공격
  • Security Token (A.K.A CSRF Token) - CSRF 공격 방어 기술 중 하나