웹 애플리케이션 보안에서 XSS(Cross-Site Scripting)는 빈번하게 발생하는 보안 취약점 중 하나입니다. 이번 글에서는 OWASP Java HTML Sanitizer를 활용하여 Spring Boot 웹 애플리케이션에서 XSS 공격을 자동으로 방어하는... Read More

프론트엔드와 백엔드 간 소통 매개체로 Swagger UI가 자주 사용됩니다. API를 개발하다 보면 에러 응답 코드를 정의해야하는 경우가 많은데, @ApiResponse 어노테이션을 사용하여 에러 코드를 일일이 작성하다 보면 비즈니스 코드가 점점 비대해지고, 비즈... Read More

서비스를 운영하다 보면 “장애가 발생했는데 아무도 몰랐다”는 상황이 가장 두렵습니다. 로그 파일을 뒤늦게 확인하고 나서야 문제를 인지하는 것은, 사용자가 이미 불편을 겪은 뒤라는 뜻이기 때문입니다. 이번 글에서는 Logback + Slack Webhook을 활용... Read More

서비스를 운영하다 보면 “서버가 느려졌는데 원인을 모르겠다”는 상황을 자주 마주칩니다. CPU 사용률, 메모리, API 응답 시간 같은 시스템 메트릭을 실시간으로 확인할 수 있다면 장애 원인을 훨씬 빠르게 파악할 수 있습니다. 이번 글에서는 Prometheus ... Read More

웹 애플리케이션이 복잡해질수록 보안 위협도 함께 증가합니다. SQL Injection, XSS, RCE 등 다양한 공격으로부터 서비스를 보호하기 위해 L7 WAF(Web Application Firewall)를 도입하게 되었고, 그 과정에서 ModSecurity를... Read More

안정적인 서비스 운영을 위해서는 배포 과정에서 발생할 수 있는 다운타임을 최소화하는 것이 중요합니다. 서버가 2대 이상으로 이중화되어 있고 AWS ELB(Elastic Load Balancer)를 통해 트래픽이 분산 처리되고 있다고 가정해봅시다. 수동 배포 시에는... Read More

개발자라면 한 번쯤은 if-else 문으로 가득한 클래스를 만들어본 적이 있을 겁니다. 하지만 시간이 지나고 코드가 커질수록, 우리는 더 깔끔하고 유연한 구조를 원하게 됩니다. 이번 포스팅에서 if-else 코드를 줄이면서 코드를 단순하고 유지보수에 유리한 구조로... Read More

Spring 기반 애플리케이션에서 외부 API와의 HTTP 통신은 매우 일반적인 작업입니다. 하지만 사용할 수 있는 도구가 다양하다 보니, 어떤 도구를 언제 써야 할지 헷갈리는 경우가 많습니다. 이번 글에서는 Spring 개발자가 알아야 할 주요 HTTP 통신 ... Read More

서비스 배포할 때마다 손이 떨리고 로그창만 바라보며 기도하게 되시나요? “이거 올렸다가 터지면 어떡하지…” 하는 불안, 누구나 겪어봤을 겁니다. 하지만 걱정 마세요. 다운타임 없이, 문제 생겨도 빠르게 복구할 수 있는 3가지 무중단 배포 전략을 소개합니다. ... Read More

개발을 하다 보면 “테스트 코드는 정말 꼭 작성해야 할까?”라는 질문을 종종 하게 됩니다. 하지만 시간이 지날수록, 기능이 많아지고 복잡도가 높아질수록 테스트 코드의 중요성은 점점 더 커집니다. 이번 글에서는 테스트 코드를 왜 작성해야 하는지, 그리고 각 테스트의... Read More

항해 Plus 1주차 핵심 주제는 ‘클린 코드 & 테스트’ 에 대한 내용이었습니다. 과제는 간단한 포인트 조회/적립 기능을 구현하는 API를 만들어보는 내용이었고 거기에 동시성 이슈까지 해결해보는 내용이었습니다. 클린 코드 최대한 책임의 분리 원칙을 ... Read More

이번 포스팅에선 application.yml 에서 주로 입력되는 DB 접속 정보, 각종 키, 파일 경로 등 외부에 공개되면 안되는 민감한 데이터들을 Vault를 이용해서 효율적으로 관리하는 방법을 알아보겠습니다. HashiCorp Vault 와 Spring Cl... Read More