프로필 사진
몰타
bolt icon20·5개월·
333
·수정됨
공유

spring security principal 객체 비밀번호 이슈?

간단하게 spring security를 인증 후 index 페이지를 왔을 때 security tag를 통해 사용자 정보를 가져 올 때 암호화된 비밀번호도 가져올 수 있는 부분을 확인 했습니다.


아래는 index.jsp 입니다.

<%@ taglib prefix="sec" uri="http://www.springframework.org/security/tags" %>
<%@ taglib prefix="form" uri="http://www.springframework.org/tags/form" %>

<!DOCTYPE html>
<html lang="ko" xml:lang="ko">
<head>
<title>Home Page</title>
<meta content="text/html; charset=utf-8" />
</head>

<body>
<h2>Hello World!</h2>

<hr>
<sec:authorize access="isAuthenticated()">
<p>principal : <sec:authentication property="principal" /></p>
<p>principal Name : <sec:authentication property="principal.member.name" /></p>
<p>principal Password : <sec:authentication property="principal.member.password" /></p>
</sec:authorize>
<form:form action="${pageContext.request.contextPath}/logout" method="POST">
<input type="submit" value="Logout" />
</form:form>
</body>
</html>

이슈라고 생각되는 부분

<p>principal : <sec:authentication property="principal.user.usrPw" /></p>


위 와 같이 할 경우 브라우저에 암호화된 데이터가 그대로 표현 됩니다.

물론 개발자가 저걸 표현 하진 않겠지만 이슈가 되지 않는 건가요?

다른 방식으로 암호가 전달되지 않도록 하는 방법이 있을 까요?

cat-footer