Spring Security

Spring Security란?

Spring 기반의 애플리케이션의 보안(인증과 권한, 인가 등)을 담당하는 스프링 하위 프레임워크이다.

• 주로 서블릿 필터와 이들로 구성된 필터 체인으로 되어있다.
• 사용자의 요청을 가로채고 Spring Security 프로세스에 보안 처리를 위임하는 일련의 과정을 의미한다.
• 인증 절차를 거친 후 인가 절차를 진행하며 아이디(Principal), 비밀번호(Credential)를 사용하는 Credential 기반의 인증 방식을 사용한다.
• 기본적으로 인증 정보는 인메모리 세션 저장소인 SecurityContextHolder에 세션-쿠키 방식으로 저장된다.
• Security 3.2 버전부터는 xml로 설정하지 않고 자바 bean으로 간단하게 설정할 수 있도록 지원한다.

🔎 인증(Authentication)
사용자가 본인이 맞는지 확인하는 절차
🔎 인가(Authorization)
인증된 사용자가 요청한 자원에 접근 가능한지 확인하는 절차
🔎 접근 주체(Principal)
보호 받는 리소스에 접근하는 대상

 

Spring Security 동작 과정

🔎 세션-쿠키 인증 과정
① 사용자가 로그인을 시도하면 http request 요청이 들어온다.
② AuthenticationFilter를 통해 사용자 정보가 저장된 DB에서 정보를 조회한다.
③ DB에 정보가 있는 사용자는 UserDetails로 세션을 생성한다.
④ Spring Security 인메모리 세션 저장소인 SecurityContextHolder에 저장한다.
⑤ 사용자에게 세션 ID와 함께 응답을 한다.
⑥ 이후 요청에서는 쿠키에서 세션 ID를 검증하고 유효할 경우 인증된다.

 

Spring Security Filter 종류

HeaderWriterFilter	응답 헤더에 시큐리티 관련 헤더를 추가해주는 역할
CorsFilter	Cross-Domain 요청인지를 확인하고 실제 요청 페이지에 전달하기 전에 적절한 CORS 정책과 헤더를 적용
CsrfFilter	CSRF 공격을 방어하는 역할, CSRF Token을 활용하여 방어
LogoutFilter	로그아웃 요청이 들어왔을 때 LogoutHandler가 로그아웃 수행
UsernamePasswordAuthenticationFilter	사용자 인증을 처리, 사용자가 입력한 username과 password로 UsernamePasswordAuthenticationToken을 만들고  AuthenticationManager를 통해 인증 처리
ConcurrentSessionFilter	매 요청마다 현재 사용자의 세션 만료 여부를 확인
BearerTokenAuthenticationFilter	BearerToken에 대해서 인증을 처리해주는 역할 담당, JWT로 인증된 요청의 유효성을 검사
BasicAuthenticationFilter	Http Basic 인증을 처리, Authorization 해더에 Basic 토큰을 인증해주는 역할
RequestCacheAwareFilter	request 내용을 cache에 저장해놓고 다음 request가 오면 이전의 cache 값을 전달
RememberMeAuthenticationFilter	세션이 만료되거나 종료된 후에도 서버에서 클라이언트의 인증 유무를 기억하는 역할, 쿠키를 검사해 인증 처리
SessionManagementFilter	세션 변조 방지 전략 설정, 유효하지 않은 세션 Redirect URL 설정, 동시성 제어 등 세션 정책에 맞게 사용하고 있는지 검사
ExcpetionTranslationFilter	해당 필터 이후 인증이나 권한 예외 발생 시 처리, ExceptionTranslationFilter가 SecurityInterceptor 이전에 존재해야 함

 

스프링 시큐리티에서 필터 호출 순서 디버깅이 필요할 때는 디버그 모드를 활성화하여 로그를 확인할 수 있다.

 

👆 첫 번째 방법; @EnableWebSecurity

WebSecurityConfigureAdapter를 상속받아 Filter Chain을 만드는 클래스에 @EnableWebSecurity(debug=true) 어노테이션을 붙여주면 요청 URL, 세션 ID, 요청 브라우저 등의 정보와 현재 실행되는 Security Filter들을 확인할 수 있다.

 

✌ 두 번째 방법; 설정파일 내 spring.security.debug를 true로 설정

@Value 어노테이션을 이용해 설정 값을 동적으로 가져온다. :false를 해주면 설정이 없을 경우 false가 기본 값으로 지정된다. 어플리케이션 설정파일을 이용하면 환경 별로 설정 값을 다르게 적용할 수 있다.

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Value("${spring.security.debug:false}")
    boolean securityDebug;

    @Override
    public void configure(WebSecurity web) throws Exception {
        web.debug(securityDebug);
    }
}

 

Spring Security 구현

스프링 시큐리티를 사용하면 서버가 기동될 때 시큐리티 초기화 작업 및 기본적인 보안 설정이 이루어진다.

• 기본적인 로그인 페이지를 제공, 요청에 대한 인증을 요구
• 인증 방식은 Form 로그인 방식과 httpBasic 로그인 방식 제공
• Form 로그인 방식은 서버에 해당 사용자의 세션 상태가 유효한지를 판단하여 인증 처리
• Http Basic 로그인 방식은 서버로부터 요청받은 방식대로 구성한 다음 헤더에 기술하여 서버로 보내는 방식으로 인증 처리

✔ Maven or Gradle

<dependency>
  <groupId>org.springframework.boot</groupId>
  <artifactId>spring-boot-starter-security</artifactId>
</dependency>

 

compile("org.springframework.boot:spring-boot-starter-security")

 

 

✔ WebSecurityConfigurerAdapter

• 스프링 시큐리티의 웹 보안 기능을 초기화하고 설정해주는 추상 클래스
• 해당 클래스를 상속 받아 config 클래스를 구현
• @EnableWebSecurity 어노테이션을 선언하면 웹 보안을 활성시켜 Spring Security Filter가 자동으로 포함

@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    // 스프링 시큐리티에서 사용자를 인증하는 방법
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    	// AuthenticationProvider 구현체
        auth.authenticationProvider(authenticationProvider);
        // auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder);
    }

    // 스프링 시큐리티 규칙을 무시하는 url 지정
    @Override
    public void configure(WebSecurity web) throws Exception {
    	web.ignoring()
        	.antMatchers("/resources/**")
            .antMatchers("/css/**")
            .antMatchers("/vendor/**")
            .antMatchers("/js/**")
            .antMatchers("/favicon*/**")
            .antMatchers("/img/**");
    }

    // 스프링 시큐리티 규칙
    @Override
    protected void configure(HttpSecurity http) throws Exception {
    	http.authorizeRequests()	// 보호된 리소스에 접근할 수 있는 권한 설정
        	.antMatchers("/login*/**").permitAll() // 전체 접근 허용
            .antMatchers("/logout/**").permitAll()
            .antMatchers("/info").hasRole("ADMIN")// ADMIN 롤을 가진 사용자만 접근 허용
            .anyRequest().authenticated()
          .and().logout().logoutUrl("/logout").logoutSuccessHandler(logoutSuccessHandler())
          .and().csrf().disable()	// csrf 보안 설정을 비활성화
          .exceptionHandling()
          .accessDeniedHandler(accessDeniedHandler())
          .authenticationEntryPoint(authenticationEntryPoint());
   }
}

 

참고자료 및 출처 🙇‍♂️

https://sjh836.tistory.com/165

https://velog.io/@seongwon97/Spring-Security-Filter%EB%9E%80

https://devuna.tistory.com/59