멘토님 말씀 (security)
- csp contesnt server principal
- web을 다룰때 resource 컨텐츠를 어떤 경우에 허용을 할건지 설정을 해야함
- 현재 와일드 카드를 사용해서 해당 부분이 다 열려있습니다.
- permitall 이랑 ignore를 따로 처리했는데 ignore는 csp 처리로 해줘야합니다.
- contentSecurityPolicy를 사용해서 해당 url에는 열어주겠다.
- security 기본 ignore 처리말고 필터 ignore 처리를 해줘야합니다.
- 필터를 걸러야하는 대상과 거르지 않아야하는 대상이 따로 있는데 이건 분기 처리를 한번 해줘야합니다.
- 비회원도 볼 수 있는 곳에 WARN을 띄울 필요가 없지 않는가?
- 허용되지 않은 endpoint에 접근했을때만 log를 띄워야 하지 않는가
- signin, signup은 ignore처리를 해야합니다. 토큰이 있어야할 필요가 없으니까 ⇒ 비회원도 가능