📌 Spring Security - CSRF & 인증 설정 실습

📅 날짜

2025-04-30

---

📝 학습 내용

1️⃣ Spring Security 전체 설정 흐름

✅ SecurityConfig 구성 요약

@Configuration
@EnableWebSecurity  // Spring Security 활성화
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // CSRF 비활성화 (테스트용)
        http.csrf().disable();

        // 권한 기반 접근 설정
        http.authorizeRequests()
            .antMatchers("/", "/join").permitAll()
            .antMatchers("/user").hasRole("USER")
            .antMatchers("/manager").hasRole("MANAGER")
            .antMatchers("/admin").hasRole("ADMIN")
            .anyRequest().authenticated(); // 기타 요청은 인증 필요

        // 로그인/로그아웃 허용
        http.formLogin().permitAll();
        http.logout().permitAll();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
            .withUser("user").password("{noop}1234").roles("USER")
            .and()
            .withUser("manager").password("{noop}1234").roles("MANAGER")
            .and()
            .withUser("admin").password("{noop}1234").roles("ADMIN");
    }
}

🔒 {noop}은 비암호화된 평문 비밀번호 설정이므로, 실무에서는 해싱 필수입니다.

---

2️⃣ 비밀번호 암호화 적용 (BCrypt)

✅ PasswordEncoder Bean 등록 및 연동

@Bean
public PasswordEncoder passwordEncoder() {
    return new BCryptPasswordEncoder();
}

@Autowired
private PasswordEncoder passwordEncoder;

@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
    auth.inMemoryAuthentication()
        .withUser("user")
        .password(passwordEncoder.encode("1234"))  // 해싱된 암호 저장
        .roles("USER");
}

🔹 예시 비교

입력 비밀번호	내부 저장값
1234	$2a$10$92Ex... (BCrypt 해시)

---

3️⃣ CSRF(Cross-Site Request Forgery) 개념 정리

• 정의: 사용자가 의도하지 않은 요청을 특정 사이트로 보내게 하는 공격
• 목적: 사용자의 인증 정보를 도용해, 의도하지 않은 '정보 변경, 삭제'를 수행
• 실제 사례: 옥션 개인정보 유출 사건에 사용됨

✅ 공격 흐름 예시 (텍스트 도식)

[공격 사이트] → (사용자 클릭) → [정상 사이트 요청 전송] → 서버가 사용자 인증 정보로 수행

---

4️⃣ Spring Security의 CSRF 보호 메커니즘

✅ 기본 방식: <input type="hidden"> 필드 자동 삽입

<input name="_csrf" type="hidden" value="토큰값">

폼 제출 시 자동으로 서버로 전송되어 검증됨

✅ JSP 직접 삽입 예제

<form action="${pageContext.request.contextPath}/login" method="post">
    USERNAME : <input name="username"/><br>
    PASSWORD : <input name="password" type="password"/><br>
    <input type="hidden" name="_csrf" value="${_csrf.token}"/>
    <button>로그인</button>
</form>

GET /logout은 CSRF 보호 활성화 시 차단됨 → POST 방식 사용 필요

---

5️⃣ CSRF 토큰을 쿠키로 전송하는 방법

✅ 설정 코드

http.csrf().csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse());

• XSRF-TOKEN이라는 이름으로 브라우저 쿠키에 저장됨
• HttpOnly 비활성화로 자바스크립트에서 토큰 접근 가능

✅ 실제 쿠키 예시

쿠키 이름	설명
JSESSIONID	세션 식별자
XSRF-TOKEN	CSRF 보호용 토큰

개발자 도구에서 확인 가능

---

6️⃣ CSRF 토큰을 클라이언트에서 사용하는 예시

✅ JavaScript / fetch 요청 시

fetch("/secure-api", {
  method: "POST",
  headers: {
    "X-XSRF-TOKEN": getCookie("XSRF-TOKEN"),
    "Content-Type": "application/json"
  },
  body: JSON.stringify({ ... })
});

getCookie는 쿠키에서 토큰을 꺼내는 유틸 함수 필요

✅ Postman 사용 시

• Headers 탭에 다음 항목 추가:
  • Key: X-XSRF-TOKEN
  • Value: (개발자 도구에서 복사한 토큰 값)

---

🔥 정리

• Spring Security는 CSRF 보호 기능을 기본 제공하며, 클라이언트에서 토큰을 적절히 제출해야 정상 요청으로 처리됨
• 테스트나 비동기 요청 시에는 CookieCsrfTokenRepository로 쿠키 기반 전송을 활용하거나, .disable() 설정을 통해 임시 비활성화 가능
• 비밀번호 저장은 반드시 BCryptPasswordEncoder와 같은 해싱 알고리즘을 사용해야 하며, {noop}은 학습 목적에만 사용
• JSP 또는 SPA 환경에서 CSRF 보호를 제대로 이해하고 설정하는 것이 매우 중요함

---

🔗 참고 자료

• 🔹 Spring Security 공식 문서
• 🔹 OWASP: CSRF 공격이란?
• 🔹 Spring Blog - CSRF Explained

---