📌 Spring Security 기본 정리

📅 날짜

2025-04-29

---

📝 학습 내용

Spring Security란?

✅ Spring Security는 인증(Authentication) 과 권한(Authorization) 을 처리하는 강력하고 확장 가능한 보안 프레임워크이다.

웹 애플리케이션과 API의 접근 제어, 세션 관리, CSRF, CORS, 패스워드 암호화 등을 지원한다.

---

주요 특징

• 인증/인가를 필터 체인 기반으로 처리
• 세션 및 JWT 기반 인증 방식 지원
• 다양한 로그인 방식 지원 (폼 로그인, 소셜 로그인, HTTP Basic 등)
• 메서드 수준 보안 제공 (@Secured, @PreAuthorize 등)
• 유연한 커스터마이징 가능 (필터, 핸들러, 토큰 처리 등)

---

활용 예시

• 로그인 인증 처리
• URL별 접근 권한 제어
• 사용자 역할 기반 서비스 기능 제한
• REST API에 JWT 인증 적용
• 관리자/일반 사용자 권한 분리

---

Spring Security 필터 체인

✅ Spring Security는 필터 기반으로 모든 인증과 인가 처리를 수행한다.

참고 이미지
https://img1.daumcdn.net/thumb/R1280x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2Fdgw6Fx%2Fbtskgc8Usno%2FaIoVxWzjsvAJi4RYeEdBPK%2Fimg.png

---

인증 처리 흐름

✅ 인증 흐름 요약

참고 이미지
https://img1.daumcdn.net/thumb/R1280x0/?scode=mtistory2&fname=https%3A%2F%2Fblog.kakaocdn.net%2Fdn%2FQdplo%2Fbtsknv61uIC%2FXt0KpLXwwk3EQI7Uj9jsj1%2Fimg.png

1. 사용자가 아이디, 패스워드 입력 → HttpServletRequest 전달
2. AuthenticationFilter가 유효성 검사 수행
3. UsernamePasswordAuthenticationToken 객체 생성
4. AuthenticationManager로 전달
5. AuthenticationProvider로 전달
6. UserDetailsService가 DB 사용자 정보 조회
7. 입력 정보와 DB 정보 비교
8. 인증 완료 → SecurityContextHolder에 저장
9. 성공 시 AuthenticationSuccessHandler, 실패 시 AuthenticationFailureHandler 실행

---

pom.xml 설정

✅ Spring Security 의존성 추가 (pom.xml)

<!-- CORE -->
<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-core</artifactId>
    <version>${org.springframework-version}</version>
</dependency>

<!-- WEB -->
<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-web</artifactId>
    <version>${org.springframework-version}</version>
</dependency>

<!-- CONFIG -->
<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-config</artifactId>
    <version>${org.springframework-version}</version>
</dependency>

<!-- TAGLIBS -->
<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-taglibs</artifactId>
    <version>${org.springframework-version}</version>
</dependency>

---

web.xml 설정

✅ Spring Security 필터 등록 (web.xml)

<!-- SECURITY FILTER -->
<filter>
    <filter-name>springSecurityFilterChain</filter-name>
    <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>

<filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
</filter-mapping>

---

Java Config로 보안 설정 (SecurityConfig 클래스)

✅ @EnableWebSecurity를 이용한 Java Config 설정

package com.example.app.config;

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@Configuration
@EnableWebSecurity  // Spring Security 설정 활성화
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // 권한 체크
        http.authorizeRequests()
            .anyRequest().authenticated(); // 모든 요청은 인증 필요

        // 로그인 설정
        http.formLogin()
            .permitAll(); // 로그인 페이지는 모두 접근 허용

        // 로그아웃 설정
        http.logout()
            .permitAll(); // 로그아웃도 모두 접근 허용
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        // 메모리 상에 사용자 계정 임시 등록
        auth.inMemoryAuthentication()
            .withUser("user")
            .password("{noop}1234") // {noop}: 암호화 없이 비밀번호 사용
            .roles("USER"); // ROLE_USER로 자동 접두사 추가
    }
}

---

🧹 최종 정리

✅ Spring Security는

• 필터 체인을 통한 인증/인가 흐름을 처리한다.
• AuthenticationManager와 UserDetailsService를 통해 사용자 정보를 관리하고 검증한다.
• XML 설정 대신 Java Config를 통해 유연하고 가독성 좋은 보안 설정이 가능하다.
• 학습 초기에는 inMemoryAuthentication()로 간단한 인증 테스트를 진행할 수 있다.

---

🔗 참고 자료

• Spring Security 필터 체인 설명 - Devhan 블로그
• Spring Security 시작하기 - Velog (by ssac17)

---