💻 코딩 일기 : [Spring Security] 'Spring Security' 편

ybk·2024년 4월 30일

Spring

spring

목록 보기

22/55

🔔 'Spring Security'에 대해서 알아보자!

💟 Spring Security

스프링 프레임워크 기반의 애플리케이션에서 보안을 구현하고 관리하기 위한 강력한 보안 프레임워크입니다.

인증(Authentication): 사용자의 신원을 확인하고 인증하는 기능을 제공합니다. 누군가가 자신이 주장하는 사람임을 증명합니다.(신분증)
인가(Authorization): 인증된 사용자에 대한 권한 부여 및 접근 제어를 관리합니다. 접근 제어, 메서드 단위의 보안 설정 등 다양한 방식의 인가를 지원합니다. 누군가가 특정 리소스나 작업에 접근할 수 있는지 확인합니다. 일단 사용자가 인증을 받으면, 한 명 이상의 개인에게 허용된 사용 가능한 리소스 작업에 접근할 수 있습니다.
보안 필터 체인(Security Filter Chain): HTTP 요청에 대한 보안 필터 체인을 구성하여 요청을 처리하기 전에 보안 검사를 수행합니다. 다양한 보안 필터를 조합하여 요청에 대한 보안 측면을 처리할 수 있습니다.
세션 관리(Session Management): 사용자의 세션을 관리하고, 세션 고정 공격, 세션 타임아웃 설정, 세션 생성 및 만료 처리 등을 지원합니다.
Remember-Me 기능: 사용자가 로그인한 상태를 기억하여, 세션이 만료되어도 다음에 애플리케이션에 접속할 때 자동으로 로그인되도록 하는 기능을 제공합니다.
CSRF(Cross-Site Request Forgery) 방어: CSRF 공격을 방어하기 위한 기능을 제공합니다.

💟 UserDetailsService

단일 메서드 loadUserByUsername (String username)이 있는 인터페이스로 UserDetails 인터페이스를 충족하는 객체를 반환하고 이 인터페이스에서 주요 정보를 얻을 수 있습니다.

@Component
@RequiredArgsConstructor
public class CustomUserDetailsService implements UserDetailsService {

    private final BCryptPasswordEncoder encoder;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        if(username.equals("son")){
            String encoded = encoder.encode("son7");
            return new User("son",encoded, List.of(new SimpleGrantedAuthority("user")));
        }else if (username.equals("lee")){
            String encoded = encoder.encode("lee9");
            return new User("lee",encoded, List.of(new SimpleGrantedAuthority("admin"),
                    new SimpleGrantedAuthority("user")));
        } else{
            throw new UsernameNotFoundException(username + " not found");
        }
    }
}

UserDetailsService 인터페이스를 구현하여 loadUserByUsername 메서드를 오버라이드합니다. 이 메서드는 사용자 이름(username)을 받아 해당 사용자의 정보를 로드하고 UserDetails 객체를 반환합니다. 만약 해당 사용자가 존재하지 않는다면 UsernameNotFoundException을 발생시킵니다.
이 예제에서는 사용자 이름이 "son"인 경우와 "lee"인 경우를 처리하고 있습니다. "son" 사용자는 "user" 권한을 가지며, "lee" 사용자는 "admin"과 "user" 권한을 가집니다. 사용자의 비밀번호는 각각 "son7"과 "lee9"이며, BCryptPasswordEncoder를 사용하여 비밀번호를 암호화합니다.
BCryptPasswordEncoder는 스프링 시큐리티에서 제공하는 비밀번호 인코더 중 하나로, 인코더를 사용해 사용자 비밀번호를 암호화하는 방식입니다. 비밀번호 인코더의 encode() 메서드에 일반 텍스트로 된 비밀번호를 전달 후 호출하면, 암호화된 결과를 반환합니다.

@Component 어노테이션을 통해 스프링에게 이 클래스가 빈으로 등록되어야 함을 알려줍니다. 또한 @RequiredArgsConstructor 어노테이션을 사용하여 필드 주입 방식으로 BCryptPasswordEncoder를 주입받습니다. 이를 통해 생성자 인젝션을 자동으로 처리할 수 있습니다.

이제 이 클래스를 사용하여 사용자 인증 및 권한 부여를 수행할 수 있습니다. 스프링 시큐리티 설정에서 이 CustomUserDetailsService 빈을 사용하여 사용자 정보를 로드하고 인증에 활용할 수 있습니다.

💟 Spring Security의 설정 클래스

SecurityFilterChain : SecurityFilterChain 빈을 생성해 HttpSecurity를 설정합니다.
BCryptPasswordEncoder 빈 생성합니다.

@Configuration
@EnableMethodSecurity
public class SecurityConfiguration {

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http.csrf(csrf -> csrf.disable());
        http.formLogin(form -> form.loginPage("/login"));
        return http.build();
    }

    @Bean
    public BCryptPasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

HttpSecurity 객체를 매개변수로 받아와서 Spring Security의 설정을 구성합니다. http.csrf(csrf -> csrf.disable())는 CSRF 보호 기능을 비활성화합니다.
http.formLogin(form -> form.loginPage("/login"))은 로그인 폼을 구성합니다. form.loginPage("/login")은 사용자가 인증되지 않은 경우 로그인 페이지로 리다이렉트할 경로를 지정합니다. 이 코드는 사용자가 인증되지 않은 요청을 보내면 Spring Security가 자동으로 로그인 페이지로 리다이렉트합니다.
return http.build()은 HttpSecurity 객체를 사용하여 SecurityFilterChain을 구성하고 요청을 처리하고 반환합니다.

* CSRF(Cross-Site Request Forgery)는 웹 어플리케이션의 보안 취약점 중 하나로, 인증된 사용자가 의도하지 않은 요청을 악의적인 공격자에 의해 전송되는 것을 방지하는 보안 기능입니다.

💟 보안 설정

Spring Security의 설정 클래스의 @EnableMethodSecurity 어노테이션을 사용하면 Spring Security의 메서드 수준 보안을 활성화할 수 있습니다.

1. @PreAuthorize 어노테이션 사용:

Controller 클래스에 @PreAuthorize 어노테이션을 사용하여 특정 메서드에 대한 접근 권한을 지정할 수 있습니다.

2. JSP 파일에서 Spring Security 태그 사용:

해당 메서드가 호출되는 JSP 파일에서는 <sec:authorize> 태그를 사용하여 사용자의 인증 상태나 권한에 따라 다른 컨텐츠를 보여줄 수 있습니다.

@Controller
public class Controller38 {

    @GetMapping("/login")
    public String login(){
        return "login";
    }
    
    @GetMapping("/path1")
    @PreAuthorize("isAuthenticated()")
    public void path1(){
        System.out.println("Controller38.path1");
    }

    @GetMapping("/path2")
    @PreAuthorize("hasAnyAuthority('user')")
    public void path2(){
        System.out.println("유저 권한이면 실행 가능");
    }

    @GetMapping("/path4")
    public void path4(){

    }
}

login() 메서드는 GET 요청을 처리하며, 로그인 페이지를 보여줍니다.
path1: 로그인이 필요한 경로로, @PreAuthorize("isAuthenticated()") 어노테이션이 붙어 있어 인증된 사용자만 해당 경로에 접근할 수 있습니다. 따라서 로그인한 사용자만이 Controller38.path1이 출력되는 메서드를 실행할 수 있습니다.
path2: hasAnyAuthority('user') 권한을 가진 사용자만이 해당 경로에 접근할 수 있습니다. 즉, 'user' 권한을 가진 사용자가 해당 메서드를 실행할 수 있습니다. 따라서 'user' 권한을 가진 사용자만이 "유저 권한이면 실행 가능"이 출력되는 메서드를 실행할 수 있습니다.
path4: path4.jsp에서 접근을 제한합니다.

path4.jsp

<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<%@ taglib prefix="c" uri="jakarta.tags.core" %>
<%@ taglib prefix="sec" uri="http://www.springframework.org/security/tags" %>
<html>
<head>
    <title>Title</title>
</head>
<body>
<h3>path4.jsp</h3>

<div>누구나 보는 컨텐츠</div>
  <sec:authorize access="isAuthenticated()">
      <div>로그인 해야 보이는 컨텐츠</div>
  </sec:authorize>
  <sec:authorize access="not isAuthenticated()">
      <div>로그인 안해야 보이는 컨텐츠</div>
  </sec:authorize>
  <sec:authorize access="hasAnyAuthority('admin')">
      <div>어드민만 보이는 컨텐츠</div>
  </sec:authorize>
</body>
</html>

"/path4" 경로로 들어온 요청에 대한 응답으로 사용됩니다.

<sec:authorize> 태그:
- Spring Security의 태그 라이브러리를 사용하여 보안 관련 권한을 체크합니다.
- access 속성을 사용하여 특정 조건에 따라 컨텐츠를 표시하거나 숨깁니다.
isAuthenticated():
- 사용자가 인증되었을 때(Authentication 객체가 존재할 때) 참이 되는 표현식입니다.
- 따라서 로그인한 사용자에게만 해당하는 컨텐츠가 보이게 됩니다.
not isAuthenticated():
- 사용자가 인증되지 않았을 때(즉, 로그인하지 않았을 때) 참이 되는 표현식입니다.
- 로그인하지 않은 사용자에게만 해당하는 컨텐츠가 보이게 됩니다.
hasAnyAuthority('admin'):
- 사용자가 "admin" 권한을 가지고 있을 때 참이 되는 표현식입니다.
- "admin" 권한을 가진 사용자에게만 해당하는 컨텐츠가 보이게 됩니다.

ybk

개발자 준비생~

이전 포스트

💻 코딩 일기 : [Spring] '@Transanction' 편

다음 포스트