Spring Security란?

📘 Spring Security란

• 스프링 기반의 어플리케이션의 보안(인증과 인가)을 담당하는 프레임워크
• 보안과 관련해 체계적인 옵션들을 지원
• 필터 기반으로 동작하여 스프링MVC와 분리되어 관리 및 동작

흐름

1️⃣ 클라이언트(유저)가 로그인을 시도

2️⃣ AuthenticationFilter는 AuthenticationManager, AuthenticationProvider(s), UserDetailsService를 통해 DB에서 사용자 정보를 읽어옴

• UserDetailsService는 인터페이스로 해당 인터페이스를 구현한 빈(Bean)을 생성하면 스프링 시큐리티는 해당 빈을 사용함. 즉, 어떤 데이터베이스로 부터 읽어들일지 스프링 시큐리티를 이용하는 개발자가 결정할 수 있음

3️⃣ UserDetailsService는 로그인한 ID에 해당하는 정보를 DB에서 읽어들여 UserDetails를 구현한 객체로 반환

• UserDetails를 구현한 객체를 만들어야 함, 이후 UserDetails정보를 세션에 저장

4️⃣ 스프링 시큐리티는 인메모리 세션저장소인 SecurityContextHolder 에 UserDetails정보를 저장

5️⃣ 클라이언트(유저)에게 session ID(JSESSION ID)와 함께 응답

6️⃣ 이후 요청이 들어오면 요청 쿠키에서 JSESSION ID정보를 통해 이미 로그인 정보가 저장되어 있는 지 확인

---

📚 인증(Authentication)과 인가(Authorization)

Authentication

• 사용자가 본인이 맞는지 아이디와 암호를 이용하여 확인

Authorization

• 인증 받은 회원이 자원을 요청했을 때 그에 대해 접근 권한이 있는지 확인하여 허용

---

📚 Spring Security Filter

역할

• 클라이언트와 자원 사이에서 요청과 응답 정보를 이용해 다양한 처리

흐름

1️⃣. 클라이언트 요청
2️⃣. 요청 URI 경로 기반 필터 인스턴스와 서블릿이 포함된 FilterChain생성
3️⃣. 작업수행

• 다운스트림 필터 또는 서블릿이 호출되지 않도록 함
  Http 서블릿 응답을 작성하거나 다른 자원으로 리다이렉트 시킬 수도 있음
• 다운스트림 필터와 서블릿에 사용되는 HttpServletRequest 또는 HttpServletResponse수정

특징

• DispatcherServlet보다 먼저 동작함
• 다양한 필터를 적용하여 작업을 수행할 수 있음

---

📚 Security Filter Chain

• 다양한 기능을 가진 필터들을 10개 이상 기본 제공, 이 묶음을 Security filter Chain이라고 함

• DelegationFilterProxy에 바로 등록하지 않고 FilterChainProxy안에 Security Filter Chain을 등록함

등록된 필터들이 하는 역할

• SecurityContextPersistenceFilter
  SecurityContextRepository에서 SecurityContext를 가져오거나 저장하는 역할

• LogoutFilter
  설정된 로그아웃 URL로 오는 요청을 감시하며, 해당 유저를 로그아웃 처리
  

• UsernamePasswordAuthenticationFilter
  (아이디와 비밀번호를 사용하는 form 기반 인증) 설정된 로그인 URL로 오는 요청 감시, 유저 인증 처리

• BasicAuthenticationFilter
  HTTP 기본 인증 헤더를 감시하여 처리
  

• RequestCacheAwareFilter
  로그인 성공 후 원래 요청 정보를 재구성하기 위해 사용
  

• SecurityContextHolderAwareRequestFilter
  HttpServletRequestWrapper를 상속한 SecurityContextHolderAwareRequestWapper 클래스로 HttpServletRequest 정보를 감싸주고 Security
  ContextHolderAwareRequestWrapper 클래스는 필터 체인상의 다음 필터들에게 부가정보 제공

• AnonymousAuthenticationFilter
  이 필터가 호출되는 시점까지 사용자 정보가 인증되지 않았다면 인증토큰에 사용자가 익명 사용자로 나타남

• SessionManagementFilter
  인증된 사용자와 관련된 모든 세션을 추적

• ExceptionTranslationFilter
  보호된 요청을 처리하는 중에 발생할 수 있는 예외를 위임하거나 전달하는 역할

• FilterSecurityInterceptor
  AccessDecisionManager로 권한부여 처리를 위임함으로써 접근 제어 결정을 쉽게 해줌

---

⚙️ Spring Security 설정 방법

build.gradle

	implementation 'org.springframework.boot:spring-boot-starter-security'

Config

@Configuration
@EnableWebSecurity
@RequiredArgsConstructor
@EnableMethodSecurity
public class SecurityConfig {

    private final TokenProvider tokenProvider;
    private final CorsFilter corsFilter;
    private final JwtAuthenticationEntryPoint jwtAuthenticationEntryPoint;
    private final JwtAccessDeniedHandler jwtAccessDeniedHandler;

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws  Exception {


        http
                .csrf((csrf) -> csrf.disable())

                .addFilterBefore(corsFilter, UsernamePasswordAuthenticationFilter.class)

                .exceptionHandling(exceptionHandling -> exceptionHandling
                .accessDeniedHandler(jwtAccessDeniedHandler)
                .authenticationEntryPoint(jwtAuthenticationEntryPoint)
                )

                .cors(cors -> cors.disable())

                .sessionManagement(httpSecuritySessionManagementConfigurer ->
                        httpSecuritySessionManagementConfigurer
                                .sessionCreationPolicy(SessionCreationPolicy.STATELESS))
                .httpBasic(b -> b.disable())

                .authorizeHttpRequests(
        (authorizeHttpRequests) ->
                        authorizeHttpRequests
                               .requestMatchers(
                                       "/signup",
                                       "/photo/list",
                                       "/photo/like",
                                       "/meeting/list",
                                       "/meeting/info",
                                       "/people-count",
                                       "/api/authenticate",
                                       "/meeting/info/**",
                                       "/login").permitAll()
                                .anyRequest().authenticated()
                )
                .formLogin(
        formLogin -> formLogin.disable())
                .logout(logout -> logout.logoutUrl("/logout"))
                .apply(new JwtSecurityConfig(tokenProvider));


        return http.build();
    }

}

• csrf.disable()
  사이트간 요청 위조 방지 비활성화

• cors.disable()
  다른 출처를 가진 자원의 접근 비활성화

• httpSecuritySessionManagementConfigurer.sessionCreationPolicy(SessionCreationPolicy.STATELESS)
  스프링이 세션을 사용하지 않고 생성도 하지 않음

• httpBasic(b -> b.disable()
  기본 인증 로그인을 사용하지 않음

• authorizeHttpRequests.requestMatchers("경로").permitAll()
  경로별로 권한을 처리하지만 permitAll()된 경로는 권한에 상관없이 모두에게 허용됨

• anyRequest().authenticated()
  허용된 경로를 제외한 모든 요청은 인증 되어야 함

• formLogin.disable()
  formLogin을 사용하지 않음

UserDetailsService

@Component("userDetailsService")
@RequiredArgsConstructor
@Transactional(readOnly = true)
@Slf4j
public class CustomUserDetailsService implements UserDetailsService {

    private final UserRepository userRepository;

    @Override
    public UserDetails loadUserByUsername(String userId) throws UsernameNotFoundException {
        log.info("loadUserByUsername 실행됨");

        User user = userRepository.findByUserStrId(userId);

        if(user == null) {
            throw new UserNotFoundException(userId+"를 찾을 수 없습니다");
        }

        return new PrincipalDetails(user);
    }
}

UserDetatils

@NoArgsConstructor
@Getter
@Setter
public class PrincipalDetails implements UserDetails, OAuth2User{

    private User user;

    private Map<String, Object> attributes;



    public PrincipalDetails(User user) {
        this.user = user;
    }

    public PrincipalDetails(User user, Map<String, Object> attributes) {
        this.user = user;
        this.attributes = attributes;
    }

    @Override
    public Map<String, Object> getAttributes() {
        return attributes;
    }

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return null;
    }

    @Override
    public String getPassword() {
        return user.getPassword();
    }

    @Override
    public String getUsername() {
        return user.getUsername();
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }

    @Override
    public String getName() {
        return null;
    }
}

---

출처

• https://m.boostcourse.org/web326/lecture/58997
• https://docs.spring.io/spring-security/reference/index.html