TIL
-
2024.10.29 JWTTIL 2024. 10. 30. 23:27
Why do many people not recommend using JWT?My article is open to everyone; non-member readers can click this link to read the full text.blog.stackademic.com JWT에 대해서 비판적인 글입니다.단순 문자에 비해 JWT는 너무 길어서 네트워크 대역폭을 낭비하고, JWT의 sign은 프레임워크에서 지원하는 Cokkie Signature로 대체될 수 있다고 말합니다.또 서버에서 제어하지 않아서 발생하는 문제에 대해서도 비판합니다. 글의 내용 보다도 댓글에서 더 많은 정보를 얻을 수 있습니다.댓글에서 열띤 토론이 벌어졌었고, 읽어보았습니다. 중간자공격 man in middle attack..
-
2024.10.28 AOP InheritanceTIL 2024. 10. 29. 10:29
추상클래스와 @transactional 질문입니다. - 인프런 | 커뮤니티 질문&답변누구나 함께하는 인프런 커뮤니티. 모르면 묻고, 해답을 찾아보세요.www.inflearn.com 관련해서 개발하다가 궁금한 점이 생겼습니다. 자식 클래스에 @Transactional 이 있고, 부모의 메서드를 오버라이딩하지 않았으면 그 메서드는 @Transactional AOP 범위에 포함되지 않습니다.Spring considers transactional. Note that a class-level annotation does not apply to ancestor classes up the class hierarchy; Using @Transactional :: Spring FrameworkThe @Transacti..
-
2024.10.23 ElasticSearch, Apache LuceneTIL 2024. 10. 23. 22:52
음 데이터가 많은 RDB의 경우 검색이 느려질 수 있다.익덱스 설계를 한다고 해도, 1억 ~ 억 단위로 넘어가면 느려진다.수평 파티셔닝, 샤딩으로 해결할 수 있지만 이건 비용이 많이 드는 일이다. 검색이 문제라면 ElasticSearch, Apache Lucene의 도움을 받아서 빠르게 처리할 수 있을 거 같다.ElasticSearch, Apache Lucene을 사용해 보지 않아서 동작법을 몰랐다. ElasticSearch, Apache Lucene들이 인덱스, 검색만 빨리되고 결국 데이터는 RDB에서 가져오는 구조인줄 알았는데, 그게 아니라 데이터를 가지고 있는 형태더라. +계속해서.. ssl그냥 궁금해서.. https://security.stackexchange.com/questions/20105..
-
2024.10.22 system designTIL 2024. 10. 22. 22:29
목표로 하는 dau, 동시접소자 수, 초당 메시지 수, 메시지 평균/최소/최대크기, 메시지 휘발여부기타 등등. 설계를 하기 전에 먼저 요구사항을 확인했어야 했다.무작정 해답을 내놓기보다는 질문을 더 했어야했다. MVP로 뭔가를 만들려고 할 때는 익숙한 기술을 사용해도 된다. 다만 목표, 요구사항이 명확하다면 새로운 기술을 써서 문제를 해결하는 것도 선택지에 있어야 한다.서비스가 커질 것을 염두에 두고 있는가? 티키타카 + Why using the premaster secret directly would be vulnerable to replay attack?Reading from this question Why does the SSL/TLS handshake have a client and serv..
-
2024.10.21 ssl replay attackTIL 2024. 10. 21. 23:54
https://security.stackexchange.com/questions/218491/why-using-the-premaster-secret-directly-would-be-vulnerable-to-replay-attack Why using the premaster secret directly would be vulnerable to replay attack?Reading from this question Why does the SSL/TLS handshake have a client and server random?, the OP asks why he can't use the premaster secret directly and the accepted answer says: ... preven..
-
2024.10.19 SSLTIL 2024. 10. 19. 17:35
HTTPS 사용 시 SSL handshake를 먼저 해야 하는데, 그 안의 행위가 잘 설계되어 있다고 느꼈다.CA의 비대칭 키와 서버의 비대칭 키, 이 둘을 잘 사용하는 것이 인상적이다.먼저 비대칭키 방식으로 서로 신뢰할 수 있는지도 확인하고 최종적으로는 대칭키까지 생성해 사용까지 한다.간단히 본다면..서버는 CA에 서버의 공개키와 도메인 주소를 넘긴다CA는 서버의 공개키를 CA의 비밀키로 암호화해서 인증서로 만들어준다.클라이언트가 서버와 SSL핸드쉐이크를 시작한다.(클라이언트 Hello) 클라이언트는 자신이 사용할 수 있는 알고리즘과 난수를 전달한다.(서버 Hello) 서버도 응답하며 사용할 알고리즘과 난수, 인증서를 전달한다.클라이언트는 브라우저에 내장되어 있는 CA 공개키로 인증서를 복호화하고 서버..
-
2024.10.17 환기TIL 2024. 10. 17. 23:42
음 미뤄놨던 일, 해보고 싶은 것을 하자.일단 실시간 랭킹을 만들어 보고 싶으니 이걸 해야겠다. 2024.06.03 Design a Real-Time Leaderboard systemDesign a Real-Time Leaderboard system for millions of users Design a Real-Time Leaderboard system for millions of usersUnpacking Challenges, Assumptions, and the Scope of Real-Time Leaderboard Designmedium.com 사용자가 많고 쌓이는 데이터가gisungcu.tistory.comWe can use sse instead of websockets and elastic s..
-
2024.10.15 Cache controlTIL 2024. 10. 16. 00:36
인터넷이 안되는 환경에서도 이미지를 보고 싶다는 요구 사항이 있었다. 처음에는 인터넷이 되는 곳에서 데이터를 받고 나서 인터넷이 안 되는 환경으로 전환되는 구조였다. 음 브라우저 캐시가 생각나 이를 적용해보았다.S3에서 이미지를 받아오는데 요청 쿼리 스트링에 cache control 관련 설정인 max-age나 value를 보내면 응답에 max-age가 붙어서 오는 구조이다. S3 자체의 메타데이터를 수정하면 다른 서비스에 영향을 줄까 걱정했지만, 좋은 파라미터가 있었다. https://docs.aws.amazon.com/AWSJavaScriptSDK/latest/AWS/S3.html#getObject-property Class: AWS.S3 — AWS SDK for JavaScriptWe reco..