[TIL] Spring Security란?

---

🌟 들어가며

Spring Security는 애플리케이션의 보안 관련 기능을 손쉽게 구현할 수 있도록 돕는 Spring 생태계의 강력한 모듈입니다. 회원가입, 로그인, 로그아웃, 세션 관리, 권한 관리 등 다양한 보안 요구사항을 빠르게 개발할 수 있어 웹 애플리케이션에서 필수적인 역할을 합니다.

---

📌 Spring Security란?

Spring Security는 Spring 프레임워크 기반 애플리케이션의 인증(Authentication)과 인가(Authorization) 문제를 해결하기 위한 보안 프레임워크입니다.

📖 주요 개념

1. 인증 (Authentication)

• 사용자가 누구인지 확인하는 과정입니다.
• 예) 로그인 시 ID와 비밀번호로 사용자 확인.
• 스프링 시큐리티 인증 구조(Spring Security Authentication Architecture)
  

  인증 순서

  1. 사용자 요청 (Actor)
     사용자가 애플리케이션에 로그인 요청을 보냅니다. 이 요청에는 사용자 이름과 비밀번호가 포함된 UsernamePasswordAuthenticationToken이 생성됩니다.

  2. Security Filter Chains
     Security Filter Chains는 요청을 처리하기 위한 필터들의 체인으로 구성되어 있습니다. 이 체인에서 Authentication Filter가 요청을 처리하고 인증 과정을 시작합니다.

  3. AuthenticationManager 호출
     Security Filter Chains는 요청을 AuthenticationManager에 전달합니다. 이 매니저는 인증 작업의 중심으로, 여러 AuthenticationProvider를 관리합니다.

  4. AuthenticationProvider 확인
     AuthenticationManager는 요청을 적절한 AuthenticationProvider에 위임합니다. Spring Security에서는 다양한 인증 방식을 지원하며, 각 방식에 따라 Provider가 선택됩니다.

  5. PasswordEncoder 사용
     AuthenticationProvider는 전달받은 비밀번호를 PasswordEncoder를 통해 인코딩하거나 비교합니다. Spring Security는 일반적으로 BCryptPasswordEncoder를 사용하여 비밀번호를 안전하게 처리합니다.

  6. UserDetailsService 호출
     AuthenticationProvider는 사용자 정보를 가져오기 위해 UserDetailsService를 호출합니다. 이 서비스는 데이터베이스 또는 다른 저장소에서 사용자 데이터를 검색합니다.

  7. UserDetails 반환
     UserDetailsService는 인증 요청에 사용된 사용자 이름에 해당하는 UserDetails 객체를 반환합니다. 이 객체에는 사용자 이름, 비밀번호, 권한 정보가 포함되어 있습니다.

  8. 사용자 정보 확인
     반환된 UserDetails를 사용해 인증 작업이 진행됩니다. 입력받은 비밀번호와 저장된 비밀번호를 비교하여 일치 여부를 확인합니다.

  9. 인증 성공 처리
     비밀번호가 일치하면 인증이 성공으로 간주됩니다. 인증된 사용자 정보를 AuthenticationProvider가 AuthenticationManager로 반환합니다.

  10. Authentication 객체 반환
      AuthenticationManager는 인증된 Authentication 객체를 생성하고 Security Filter Chains에 반환합니다.

  11. SecurityContextHolder에 저장
      Authentication Filter는 인증 정보를 SecurityContextHolder에 저장합니다. 이 컨텍스트는 애플리케이션 전반에서 인증 정보를 참조할 수 있도록 합니다.

  12. 요청 처리 완료
      최종적으로 요청은 인증이 완료된 상태로 애플리케이션의 다른 계층(컨트롤러 등)으로 전달됩니다.

  [정리]

  1. 사용자 → 요청 생성
  2. Security Filter Chains에서 인증 작업 시작
  3. AuthenticationManager와 AuthenticationProvider를 통해 사용자 인증 수행
  4. 인증 성공 시 인증 정보를 SecurityContextHolder에 저장
  5. 이후 요청 처리

2. 인가 (Authorization)

• 사용자가 특정 리소스나 기능에 접근할 수 있는 권한이 있는지 확인하는 과정입니다.

• 예) 관리자 페이지는 ROLE_ADMIN 권한만 접근 가능.

  • Spring Security는 권한 기반 접근 제어를 제공합니다.

    @PreAuthorize("hasRole('ADMIN')")
    @GetMapping("/admin")
    public String adminPage() {
       return "Admin Page";
    }

3. 세션 관리

• 로그인 상태 유지, 세션 타임아웃 설정 등 사용자의 연결 상태를 관리합니다.

4. 보안 필터 체인 (Security Filter Chain)

• 요청이 서버에 도달하기 전에 일련의 필터를 통해 보안 검증을 수행하는 구조입니다.

---

🛠️ Spring Security의 특징

1. 강력한 보안 기능

• CSRF, CORS, 세션 고정 공격 방지 등 다양한 보안 메커니즘 제공.

2. 높은 유연성

• 다양한 커스터마이징 옵션을 통해 애플리케이션 요구사항에 맞게 설정 가능.

3. 통합성

• Spring Boot와 자연스럽게 통합되며, OAuth2, JWT 같은 최신 인증 방식도 지원.

4. 표준 준수

• JSR-250, JEE Security 표준 API와의 통합 지원.

---

🏗️ Spring Security의 주요 컴포넌트

1. SecurityContext
   현재 사용자 인증 정보를 저장하는 컨텍스트.
2. AuthenticationManager
   사용자 인증의 핵심 역할을 수행.
3. Authentication
   인증 정보를 담는 객체.
4. GrantedAuthority
   사용자가 가진 권한 정보를 나타냄.

---

📋 Spring Security 주요 어노테이션

1. @EnableWebSecurity
   Spring Security 설정을 활성화.
2. @PreAuthorize / @PostAuthorize
   메소드 실행 전/후에 권한 검사를 수행.

   @PreAuthorize("hasRole('ADMIN')")
    public void adminOnlyMethod() { ... }

3. @Secured
   특정 역할 기반 접근 제한.

   @Secured("ROLE_USER")
    public void userMethod() { ... }

4. @WithMockUser
   테스트 환경에서 가짜 사용자로 인증.

---

📝 Spring Security 설정: 회원가입부터 권한 관리까지

1️⃣ 회원가입

회원가입 시에는 사용자 정보를 저장하며, 비밀번호는 반드시 BCrypt와 같은 해싱 알고리즘으로 암호화해야 합니다.

@Service
public class UserService {
    private final PasswordEncoder passwordEncoder;

    public UserService(PasswordEncoder passwordEncoder) {
        this.passwordEncoder = passwordEncoder;
    }

    public void registerUser(String username, String password) {
        String encodedPassword = passwordEncoder.encode(password);
        User user = new User(username, encodedPassword, Collections.singletonList("ROLE_USER"));
        userRepository.save(user);
    }
}

2️⃣ 로그인

Spring Security는 기본적으로 UsernamePasswordAuthenticationFilter를 통해 로그인 처리를 제공합니다.

Custom Login 설정:

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.formLogin()
        .loginPage("/login")
        .defaultSuccessUrl("/home")
        .failureUrl("/login?error=true")
        .permitAll();
}

3️⃣ 로그아웃

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.logout()
        .logoutUrl("/logout")
        .logoutSuccessUrl("/login?logout")
        .invalidateHttpSession(true)
        .deleteCookies("JSESSIONID");
}

4️⃣ 세션 관리

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.sessionManagement()
        .sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED)
        .maximumSessions(1)
        .maxSessionsPreventsLogin(true);
}

5️⃣ 권한 관리

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.authorizeRequests()
        .antMatchers("/admin/**").hasRole("ADMIN")
        .antMatchers("/user/**").hasAnyRole("USER", "ADMIN")
        .anyRequest().authenticated();
}

---

🔐 Spring Security의 보안 고려사항

1. HTTPS 사용 필수
   HTTPS는 민감한 데이터를 암호화된 채널로 안전하게 전송합니다.

   server:
    ssl:
      key-store: classpath:keystore.p12
      key-store-password: password
      key-store-type: PKCS12

2. 비밀번호 암호화
   Spring Security에서 제공하는 BCryptPasswordEncoder 사용.

3. CSRF 보호
   Spring Security는 기본적으로 CSRF 공격을 방지합니다. REST API 사용 시 비활성화 가능.
   CSRF(Cross-Site Request Forgery)는 악의적인 사이트에서 요청을 보내 사용자의 의도와 상관없는 동작을 실행하는 공격입니다.

   @Override
   protected void configure(HttpSecurity http) throws Exception {
      http.csrf().csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse());
   }

4. JWT와 OAuth2
   토큰 기반 인증 방식으로 세션 관리의 부담을 줄임.

   🔑 OAuth2 및 토큰 기반 인증
   OAuth2는 사용자가 특정 리소스에 접근할 수 있도록 권한을 부여하는 프로토콜입니다. Spring Security는 OAuth2를 통해 소셜 로그인, API 인증 등을 지원합니다.

   • 동작 과정:
     1. 클라이언트가 리소스 소유자(사용자)에게 인증 요청.
     2. 사용자 동의 후 인증 서버에서 Access Token 발급.
     3. 클라이언트는 Access Token을 사용해 리소스 서버 접근.

     @Override
     protected void configure(HttpSecurity http) throws Exception {
        http.oauth2Login()
            .clientRegistrationRepository(clientRegistrationRepository())
            .authorizedClientService(authorizedClientService());
     }

📋 쿠키, 세션, JWT의 주요 비교

항목	쿠키	세션	JWT
저장 위치	클라이언트	서버	클라이언트
보안	XSS 공격에 취약	서버 관리, 비교적 안전	탈취 시 위험
상태 유지	클라이언트 저장	서버에서 상태 유지	상태 정보 자체 포함
서버 부담	낮음	높음(세션 저장 필요)	없음(Stateless)
갱신/폐기	간단	간단	복잡(재발급 필요)
데이터 크기	작음(4KB 제한)	제한 없음(서버 측 저장)	클라이언트 크기만큼 제한
사용 사례	간단한 상태 유지	사용자 인증 및 세션 관리	분산 시스템, API 인증

즉, 간단한 상태를 유지하려면 쿠키를 사용하는 것이 좋고, 서버 중심의 인증에는 세션이, 확장성과 성능을 중시한다면 JWT, 외부 인증 및 소셜 로그인에는 OAuth2가 주로 사용되는것 같습니다.

📌 사용 방식 설명

1️⃣ 쿠키

• 동작 원리:
  • 클라이언트 측에 상태 정보를 저장하여 HTTP 요청마다 해당 데이터를 서버에 전달.
• 장점:
  • 서버 부하 감소.
  • 간단한 상태 저장에 유용.
• 단점:
  • XSS 공격에 취약 (쿠키에 민감한 정보 저장 금지).
  • 데이터 크기 제한(4KB).
• 사용 사례:
  UI 선호 설정 저장.
  간단한 세션 관리.

  // Spring에서 쿠키 설정
  ResponseCookie cookie = ResponseCookie.from("key", "value")
        .httpOnly(true) // XSS 방지
        .secure(true)  // HTTPS에서만 동작
        .path("/")
        .maxAge(Duration.ofHours(1))
        .build();
  response.addHeader("Set-Cookie", cookie.toString());

2️⃣ 세션

• 동작 원리:
  상태 정보를 서버에 저장하며, 클라이언트는 세션 ID만 쿠키로 저장.
• 장점:
  • 서버에서 상태를 관리하므로 클라이언트 조작 어려움.
  • 상태 정보 용량 제한 없음.
• 단점:
  • 서버 부담 증가.
  • 확장성 낮음(분산 환경에서 관리 어려움).
• 사용 사례:
  • 사용자 인증 및 상태 유지.
  • 쇼핑몰 장바구니.

    // Spring Security 세션 설정
    @Override
    protected void configure(HttpSecurity http) throws Exception {
       http.sessionManagement()
           .sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED) // 필요 시 세션 생성
           .maximumSessions(1)  // 동시 로그인 제한
           .expiredUrl("/session-expired") // 세션 만료 시 리다이렉트
           .maxSessionsPreventsLogin(true); // 새로운 세션 생성 방지
    }

3️⃣ JWT

• 동작 원리:
  클라이언트에 상태 정보를 포함한 토큰을 발급. 서버는 상태를 저장하지 않음(Stateless).
• 장점:
  • 서버 부담 감소.
  • RESTful API 및 분산 시스템에 적합.
• 단점:
  • 토큰 탈취 시 보안 문제 발생.
  • 데이터 갱신/폐기 어려움.
• 사용 사례:
  • 마이크로서비스 인증.
  • API 인증.

    // Spring에서 JWT 생성
    String jwt = Jwts.builder()
           .setSubject("username")
           .setIssuedAt(new Date())
           .setExpiration(new Date(System.currentTimeMillis() + 3600000)) // 1시간 유효
           .signWith(SignatureAlgorithm.HS256, "secret-key")
           .compact();

---

💡 자주 사용하는 메소드

1. 비밀번호 암호화

PasswordEncoder encoder = new BCryptPasswordEncoder();
String encodedPassword = encoder.encode("rawPassword");

2. 현재 사용자 정보 가져오기

Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
String username = authentication.getName();

3. 권한 확인

if (authentication.getAuthorities().contains(new SimpleGrantedAuthority("ROLE_ADMIN"))) {
    // 관리자 권한 로직
}

4. JWT 유효성 검사

Claims claims = Jwts.parser()
        .setSigningKey("secret-key")
        .parseClaimsJws(token)
        .getBody();

---

참고문헌

[Spring Security] Spring Security란? (feat.학습 이유)
Spring Security를 구현해보자
[SpringBoot] Spring Security란?
chatGPT 검색

---