11월 8일

Yullgiii·2023년 11월 8일

Java Spring TIL security

개발자로의 취업을 준비하며 TIL

목록 보기

61/286

TIL- 하나라도 확실히 파서 알고 가자!...

🌟 스프링 시큐리티란?

스프링 시큐리티는 스프링 기반 애플리케이션에 보안 기능을 제공하는 프레임워크다. 인증(Authentication)과 권한 부여(Authorization)를 중심으로 다양한 보안 기능을 지원한다.

🏗️ 주요 기능

인증(Authentication): 사용자 신원을 확인하는 절차.
권한 부여(Authorization): 인증된 사용자의 자원 접근 권한 결정.
CSRF 보호: 웹 애플리케이션을 CSRF 공격으로부터 보호.
세션 관리: 세션 고정, 만료, 동시성 제어 등을 관리.
암호화: 데이터 보호를 위한 다양한 암호화 기법 지원.

🔒 인증 및 권한 부여 원리

인증: AuthenticationManager가 사용자 자격 증명을 검증.
권한 부여: SecurityContextHolder에 저장된 권한 정보를 통해 접근 가능 여부 결정.

📝 설정

WebSecurityConfigurerAdapter 클래스 상속 및 configure 메소드 오버라이드로 설정 가능.

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

  @Override
  protected void configure(HttpSecurity http) throws Exception {
    http
      .authorizeRequests()
        .antMatchers("/public/**").permitAll()
        .anyRequest().authenticated()
      .and()
      .formLogin()
        .loginPage("/login").permitAll()
      .and()
      .logout().permitAll();
  }

  @Autowired
  public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
    auth
      .inMemoryAuthentication()
      .withUser("user").password(passwordEncoder().encode("password")).roles("USER")
      .and()
      .withUser("admin").password(passwordEncoder().encode("admin")).roles("ADMIN");
  }

  @Bean
  public PasswordEncoder passwordEncoder() {
    return new BCryptPasswordEncoder();
  }
}

🎨 로그인 페이지 커스터마이징 예제

<!-- login.html -->
<form action="/login" method="post">
  <div><label> Username: <input type="text" name="username"> </label></div>
  <div><label> Password: <input type="password" name="password"> </label></div>
  <div><input type="submit" value="Log in"></div>
</form>

🌐 CSRF 설정

CSRF 보호는 기본적으로 활성화되어 있으며, 필요 시 비활성화 가능.

http
  .csrf().disable()
  // 다른 구성들

🔑 암호화

PasswordEncoder 인터페이스로 비밀번호 암호화 기능 제공.

@Bean
public PasswordEncoder passwordEncoder() {
  return new BCryptPasswordEncoder();
}

🛠️ 확장성

UserDetailsService 인터페이스 구현으로 사용자 정보를 데이터베이스에서 가져오는 방식으로 확장 가능.

📈 결론

스프링 시큐리티는 스프링 생태계에서 보안의 대명사로 자리 잡고 있다. 기본적인 웹 보안에서부터 복잡한 인증 및 권한 부여 전략까지, 개발자는 이 툴을 통해 애플리케이션의 보안을 확고히 할 수 있다. 특히, 이는 세밀한 보안 요구 사항을 맞추기 위해 필수적인 다양한 커스터마이징 옵션을 제공한다. 스프링 시큐리티는 기본적인 설정만으로도 많은 보안 위협으로부터 보호할 수 있지만, 프로젝트의 특성에 맞춰 세부적인 설정을 조정해야 할 때가 많다. 이러한 과정에서 개발자의 깊은 이해와 섬세한 주의가 요구된다.

또한, 스프링 시큐리티는 지속적인 업데이트와 커뮤니티의 지원을 받으며 보안 위협에 빠르게 대응하고 있으며, 최신 보안 표준을 따르고 있어 안정성을 기할 수 있다. 그러나 보안은 항상 변화하는 분야이며, 새로운 유형의 공격과 취약점이 등장하기 때문에 개발자는 스프링 시큐리티와 관련된 최신 지식을 지속적으로 업데이트하고 적용해야 한다.

🌟 회고

스프링 시큐리티를 사용하면서 느낀 점은, 이 프레임워크가 제공하는 기본 설정만으로도 많은 보안 위협으로부터 애플리케이션을 보호할 수 있다는 것이다. 그러나 각 애플리케이션의 특성에 맞게 설정을 세부적으로 조정하는 과정은 생각보다 복잡하고 시간이 많이 소요될 수 있다는 점을 깨달았다.

오늘 한 일을 회고하며, 새로운 보안 취약점에 대응하기 위해 지속적인 학습과 경험의 중요성을 다시 한번 인식하게 되었다. 또한, 스프링 시큐리티와 같은 강력한 툴을 사용함에 있어, 그것을 제대로 이해하고 활용하는 것이 얼마나 중요한지를 실감했다. 보안은 결코 가볍게 다룰 수 있는 주제가 아니며, 이를 위해 개발자로서의 지속적인 성장과 노력이 필요하다는 것을 다시 한번 느끼는 계기가 되었다.