[B]

1. CSRF 토큰이란 무엇이고, 왜 중요한가?

• *CSRF(Cross-Site Request Forgery, 사이트 간 요청 위조)**는 공격자가 사용자를 속여서 피해자의 권한으로 악성 요청을 보내는 공격입니다.

• 이걸 막기 위해 CSRF 토큰이라는 ‘일회용 비밀번호(비밀 코드)’를 서버가 만들어서 클라이언트에게 주고,

  클라이언트가 요청할 때 이 토큰을 반드시 같이 보내도록 합니다.

• 서버는 “보내온 토큰이 맞는지” 확인해서 정상 요청인지 검증합니다. 토큰이 없거나 틀리면 요청을 거절합니다.

2. 세션(Session) 개념 간단 정리

• 사용자가 로그인하면, 서버는 사용자 정보를 인증 후 세션이라는 공간(서버 메모리 또는 저장소)에 로그인 상태 및 사용자 정보를 저장합니다.
• 이후 사용자가 웹사이트 내 여러 페이지를 이동하더라도, 이 세션을 통해 “누구인지, 어떤 권한을 가지고 있는지” 확인할 수 있습니다.
• 즉, 로그인 상태 유지용 개인 저장 공간이라고 생각하면 쉽습니다.

3. 우리 프로젝트에서 CSRF와 세션은 어떻게 작동하는가?

(1) 로그인 시점 - 세션 생성 및 권한 저장

• 사용자가 로그인 폼(/login)에서 아이디와 비밀번호를 입력하면,
• UserService.loadUserByUsername() 에서 DB의 사용자 정보와 역할(role)을 읽어옵니다.
• 인증이 성공하면, Spring Security가 내부적으로 사용자 정보와 역할을 **인증 객체 (Authentication)**에 저장하여,
• 이를 **서버 세션(session)**에 저장해서 로그인 상태를 유지합니다.

(2) CSRF 토큰 발급 및 폼 전달

• 로그인 후 또는 회원가입 페이지처럼 POST/PUT/DELETE 같이 상태 변경이 일어나는 폼을 보여줄 때,
• Spring Security가 서버 세션에 임의의 CSRF 토큰을 생성해 저장하고,
• JSP 뷰에 ${_csrf.token} 변수로 전달합니다.
• 우리가 register.jsp 와 login.jsp 폼에 아래처럼 넣었던 이 부분이 바로 CSRF 토큰 전달입니다: