TIL [20240613] - Spring Security

📖 오늘의 학습 키워드

Spring Security - Authenication & Authorization

❓ 키워드 선택 이유

개인 프로젝트 및 팀 프로젝트에서 인증 및 인가를 구현하는 것에 급했었습니다. 그러다보니 이게 어떤 원리로 동작하는지 이해를 제대로 못한 상태로 구현만 했습니다. 때문에 구현이나 남들에게 설명 하면서도 미숙함이 묻어나오는 듯 했습니다. 앞으로 다룬다하고 바쁘다는 핑계로 지나쳤던 것을 제대로 이해하는 시간을 가져보려합니다.

🧐 Spring Security

API에 권한 기능이 없으면, 아무나 회원 정보를 조회하고 수정하며 삭제할 수 있습니다.
이를 방지하기 위해서 인증된 유저에게만 API를 사용할 수 있게 해야되는데, 방법 중 하나가
Spring Security입니다.

스프링 프레임 워크에서는 인증 및 권한 부여로 리소스 사용을 컨트롤 할 수 있는 Spring Security를 제공합니다. 이 프레임워크를 사용하면 보안 처리를 쉽게 사용 할 수 있습니다.

🧐 Spring Security 동작 원리

1. 사용자가 로그인 정보(username, password)를 입력합니다.
2. UserPasswordAuthenticationToken이 생성되어 AuthenicationFilter로 전달됩니다.
3. AuthenicationFilter는 AuthenicationManager로 인증 처리를 위임합니다.
4. AuthenicationManager는 ProviderManager에게 인증 처리를 위임하고 ProviderManager는 적절한 AuthenicationProvider를 선택하여 인증을 처리합니다.
5. AuthenicationProvider는 PasswordEncoder를 사용하여 Encode합니다.
6. AuthenicationProvider는 UserDetailService를 사용하여 사용자 정보를 로드합니다.
7. UserDetailsService는 데이터베이스 또는 다른 소스에서 사용자 정보를 가져와 UserDetails 객체로 반환합니다.
8. AuthenticationProvider는 입력된 비밀번호와 UserDetails의 비밀번호를 PasswordEncorder를 사용하여 비교하고 검증합니다.
9. AuthenticationProvider가 인증을 처리한 후, 인증 결과는 다시 AuthenticationManager에게 전달됩니다.
10. AuthenticationManager는 인증 결과를 바탕으로 Authentication 객체를 생성하여 AuthenticationFilter에게 반환합니다.
11. 인증에 성공한 경우 : AuthenticationFilter는 Authentication 객체를 SecurityContext에 저장합니다. 이를 통해 애플리케이션의 다른 부분에서 현재 인증된 사용자의 정보에 접근할 수 있습니다.
    인증에 실패한 경우 : AuthenicationFilter는 AuthenicationException을 처리합니다.

🧐 Spring Security Filter

Spring Security Filter는 Spring Security의 핵심 컴포넌트 중 하나로, 웹 애플리케이션의 보안을 담당합니다. 
Filter는 Servlet Filter를 기반으로 동작하며, 들어오는 요청(request)과 나가는 응답(response)를 가로채서 
보안 처리를 수행합니다.

🧐 Spring Security Filter 동작 원리

사용자(User)가 요청(Request)를 보내면, 그 요청은 필터 체인을 통과하게 됩니다. 필터 체인은 여러 개의 서블릿 필터(Servlet Filter)로 구성되어 있습니다.

각 서블릿 필터는 요청을 가로채서 전처리(pre-processing)을 수행할 수 있습니다. 이 때, 필터는 요청을 변경하거나 추가 작업을 수행할 수 있습니다. 그 후 필터는 doFilter() 메서드를 호출하여 요청을 다음 필터 또는 최종 목적지인 서블릿(Servlet)으로 전달합니다.

요청이 모든 필터를 통과하면, 최종적으로 서블릿이 요청을 받아 처리합니다. 서블릿은 요청에 대한 응답(Response)를 생성합니다.

응답은 다시 필터 체인을 역순으로 통과합니다. 각 필터는 응답에 대해 후처리(post-processing)를 수행할 수있습니다. 필터는 응답을 변경하거나 추가 작업을 수행할 수 있습니다.

public void doFilter(
			ServletRequest request,
            ServletResponse response, 
            FilterChain filterChain) throws IOException, ServletException {
		//여기에 전처리
		filterChain.doFilter(request, response);
		//여기에 후처리
}

🧐 Spring Security Filter 주요 필터

1. SecurityContextPersistenceFilter
   • SecurityContext를 로드하고 저장하는 역할을 합니다.
   • 각 요청마다 SecurityContext를 생성하고, 요청 처리 후 SecurityContext를 정리합니다.
2. UsernamePasswordAuthenticationFilter
   • 사용자 이름과 비밀번호를 사용하여 인증을 처리하는 필터입니다.
   • 로그인 폼에서 제출된 사용자의 이름과 비밀번호를 인증에 사용합니다.
   • 클라이언트가 리소스에 대한 접근 권한이 없을 때 처리를 담당하는 필터입니다.
3. AnonymousAuthenticationFilter
   • 인증되지 않은 사용자를 위한 익명 Authentication을 생성하는 필터입니다.
   • 인증되지 않은 사용자도 특정 리소스에 접근 할 수있도록 허용할 때 사용됩니다.
4. ExceptionTranslationFilter
   • 인증과 권한 부여 과정에서 발생하는 예외를 처리하는 필터입니다.
   • AccessDeniedException이나 AuthenticationException 등의 예외를 적절한 HTTP 응답으로 변환합니다.
5. FilterSecurityInterceptor
   • 인증된 사용자의 권한을 확인하고 접근 제어를 수행하는 필터입니다.
   • 요청된 리소스에 대한 접근 권한을 확인하고, 접근 권한이 없는 경우 AccessDeniedException을 발생시킵니다.

🧐 Spring Security Filter - OncePerRequestFilter

Spring Web에서 제공하는 추상 클래스로, 사용자 정의 필터를 만들 때 유용하게 사용합니다. 
이 클래스를 상속받으면 매 요청마다 한 번씩 필터가 실행되는 것을 보장할 수 있습니다.

• 매 요청마다 한 번씩 실행됩니다.
• 서블릿 컨테이너의 필터 체인에서 중복 실행을 방지합니다.
• 서블릿 컨테이너에 의해 필터가 여러번 호출되는 경우, 첫 번째 호출에서만 실행됩니다.
• shouldNotFilter로 특정 조건에서 필터를 생략할 수 있습니다. 기본은 false로 모든 요청에 대해 필터가 실행됨을 의미합니다.
• shouldNotFilterAsyncDispatch()와 shouldNotFilterErrorDispatch() 메서드를 제공하여 비동기 요청과 오류 발생 시의 필터 실행 여부를 제어할 수 있습니다.

🧐 API 인증 및 권한 부여를 위한 작업 순서

1. 회원 가입, 로그인 API 구현
2. 리소스 접근 가능한 ROLE_USER 권한을 가입 회원에게 부여
3. Spring Security 설정에서 ROLE_USER 권한을 가지면 접근 가능하도록 세팅
4. 권한이 있는 회원이 로그인 성공하면 리소스 접근 가능한 JWT 토큰 발급
5. 해당 회원은 권한이 필요한 API 접근 시 JWT 보안 토큰을 사용

이처럼 접근 제한이 필요한 API에는 보안 토큰을 통해서 이 유저가 권한이 있는지 여부를 Spring Security를 통해 확인하고 리소스를 요청할 수있도록 구성 할 수 있습니다.

🧐 Spring Security Configuration

Spring Security 5.7.0-M2 보다 높은 버전은 WebSecurityConfigurerAdapter가 Deprecated되었기에 사용하지않습니다. 따라서 SecurityFilterChain Bean을 직접 구성하는 방식으로 전환해야 합니다.

@Configuration
public class SecurityConfiguration {

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http
            .authorizeHttpRequests((authz) -> authz
                .anyRequest().authenticated()
            )
            .httpBasic(withDefaults());
        return http.build();
    }
}

저는 이런 식으로 사용하는 편입니다.

@Configuration
@EnableWebSecurity
public class WebSecurityConfig {

    private final UserDetailsServiceImpl userDetailsService;


    public WebSecurityConfig(UserDetailsServiceImpl userDetailsService){
        this.userDetailsService = userDetailsService;
    }

    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }

    @Bean
    public AuthenticationManager authenticationManager(AuthenticationConfiguration configuration) throws Exception{
        return configuration.getAuthenticationManager();
    }

    @Bean
    public JwtAuthenticationFilter jwtAuthenticationFilter() throws Exception{
        return new JwtAuthenticationFilter(userDetailsService);
    }

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception{

        http.csrf((csrf) -> csrf.disable());

        http.sessionManagement((sessionManagement) ->
                sessionManagement.sessionCreationPolicy(SessionCreationPolicy.STATELESS));

        http.authorizeHttpRequests((authorizeHttpRequests) ->
                authorizeHttpRequests
                        .anyRequest().authenticated()); // 모든 요청 인증 필요

        http.addFilterBefore(jwtAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class);

        return http.build();
    }
}

📚 오늘의 회고

앞으로 기술 면접 준비도 해야하는데 중요한 시간을 구현 먼저하면 익숙해지겠지라는 안일한 마음으로 제대로 보지않았던 것들이 많습니다. 지나쳤던 것들을 많이 되돌아보며 정리하는 시간을 가져야겠습니다.