📒참고

본 Spring Security 시리즈 내용은 인프런 정수원님의 강의 내용을 정리한 시리즈입니다.

상업적 이용 목적의 포스팅 무단 복제 및 사용을 금합니다.

강의 주소: https://www.inflearn.com/course/%EC%8A%A4%ED%94%84%EB%A7%81-%EC%8B%9C%ED%81%90%EB%A6%AC%ED%8B%B0-%EC%99%84%EC%A0%84%EC%A0%95%EB%B3%B5#

📒SecurityBuilder와 SecurityCofigurer

SecurityBuilder와 SecurityConfigurer 둘 다 인터페이스다.

SecurityBuilder 가 SecurityConfigurer를 참조하고 있고, 인증 및 인가의 초기화 작업은 SecurityConfigurer에 의해 진행된다.

✔️SecurityBuilder

빌더 클래스로서 웹 보안을 구성하는 빈 객체를 생성하는 역할을 한다.

대표적인 구현체로 WebSecurity, HttpSecurity, AuthenticationManagerBuilder가 있다.

✔️SecurityConfigurer

Http 요청에 대한 보안 처리를 담당하는 필더들을 생성하고 초기화 설정에 관여한다.

SecurityConfigurer 인터페이스는 init과 configure 메소드를 가지고 있고 각 메소드는 SecurityBuilder 타입의 인수를 받는다.

📒흐름

Spring Security Starter 모듈을 의존성에 추가하고 실행하여 흐름을 살펴본다.

✔️HttpSecurityConfiguration

HttpSecurityConfiguration 클래스에 있는 httpSecurity 메소드를 통해 HttpSecurity 빈을 생성한다.

httpSecurity 빈 생성 메소드에 @Scope 어노테이션을 살펴보면 prototype으로 명시되어 있다.

이 메소드가 실행될 때마다 HttpSecurity 빈이 생성된다. 즉 singleton으로 관리되는 빈이 아니다.

httpSecurity 메소드에서 AuthenticationManagerBuilder를 생성하고, HttpSecurity도 생성한다.

그 밑의 http(HttpSecurity)를 통해서 기본 보안 설정 초기화 작업을 진행하고 있다.

http.csrf(withDefaults)

withDefaults 메소드를 호출하면서 csrf 보안 초기화 작업을 진행한다.

withDefaults 메소드는 함수형 인터페이스인 Customizer의 static 메소드이다.

withDefaults 메소드는 제네릭 메소드이기 때문에 명시적으로 제네릭 타입을 지정하지 않으면 HttpSecurity의 csrf 메소드 인자값을 통해 추론한다.

즉, 여기서 제네릭 타입은 csrf 메소드의 인자값을 추론하여 Customizer<CsrfConfigurer<HttpSecurity> 타입의 객체를 반환한다.

CsrfConfigurer 객체를 생성하고 getOrApply 메소드를 통해 생성한 CsrfConfigurer를 적용한다. CsrfConfigurer는 SecurityConfigurer를 구현한 구현체다.

이런식으로 나머지도 마찬가지로 생성한 configurer들을 다 적용한 후에 HttpSecurity를 그대로 return하면서 HttpSecurity 빈을 등록한다.

✔️SpringBootWebSecurityConfiguration

그 이후에 저번에 살펴봤던 SpringBootWebSecurityCongiruation 클래스의 defaultSecurityFilterChain 메소드로 넘어온다.

여기서 HttpSecurity 빈을 주입받고, 추가적으로 Configurer들을 적용한 후 build 메소드를 실행하고 return 하여 SecurityFilterChain 빈을 등록한다.

http.build()

HttpSecurity의 build 메소드는 위와 같이 doBuild 메소드를 호출한다.

doBuild 메소드는 init과 configure 메소드를 호출하고 performBuild 메소드를 호출한 결과를 return 하고 있다.

init과 configure 메소드의 구현은 비슷하게 생겼다.

SecurityConfigurer들을 꺼내서 SecurityConfigurer의 init을 한 번씩 호출하고, configure를 한 번씩 호출하여 각 SecurityConfigurer에 해당하는 Filter들을 생성한다.

performBuild 메소드는 최종적으로 DefualtSecurityFilterChain을 생성해서 반환한다.

이렇게 최종적으로 SecurityFilterChain이 빈으로 등록된다.