---

• 이 글에서 csrf에 대한 부분은 Reiphiel님의 Spring Security로 CSRF 프로텍션 적용글에서 가져왔습니다.

지식과 꿀팁이 넘지는 "레이피엘의 블로그" 방문하기

"Spring Security로 CSRF 프로텍션 적용" 글 보러가기

---

🟦 시큐리티 용어

✅ Authentication 로그인

✅ Authorization 권한

🟦 시큐리티 구조

• 1 (Http Request) 👉 2 (UsernamePasswordAuthentication Token)
  : id와 pw를 분리하고 그 값들을 갖고 있다.

• 3 (AuthenticationManager)
  :1 (Http Request)과 4 (AuthenticationProvider)를 연결해주는 콘센트 역할
• 3 (AuthenticationManager)을 상속받아서 구현한 것이 ProviderManager

• 4 (AuthenticationProvider)
  : 인증 역할 👉 로그인과 관련됨

• 5 (UserDetailsService)
  : 로그인처리
• 5 (UserDetailsService) 인터페이스를 구현한 친구가 처리
• loaduserBy()메소드가 꼭 있어야 한다.
• loaduserBy()메소드에게 id를 넣어준다.
• 4 (AuthenticationProvider)가 loaduserBy()메소드를 호출해주고나서
• 결국 넘어오는 타입은 6 (UserDetails)이다.
• loaduserBy()메소드를 통해서 어떻게 로그인 처리 해줄지 로직을 여기에 적어준다.

• 6 (UserDetails)인터페이스를 상속받은 클래스가 처리해주고
• 결과물을 7 (AuthenticationProvider)번으로,
• 그리고 8 (AuthenticationManager)으로,
• 그리고 9 (AuthenticationFilter)으로,
• 그리고 최종결과가 10 (SecurityContextHolder)로 온다.

• 우리는 6 (UserDetails)만 잘하면 된다.

• 10 (SecurityContextHolder)이 타임리프에서 #autheication을 담당한다.
• 타임리프에서 #autheication에서 getPrinciple()하면
• 6 (UserDetails)의 객체가 온다.

• 10 (SecurityContextHolder)은 인증정보를 가지고 있다.
  : 로그인에 성공 되어있냐의 여부
• 타임리프나 스프링이 10 (SecurityContextHolder)에 물어볼 수 있다.
• 그래서 최종결과가 10 (SecurityContextHolder)으로 오는 것이다.

🟦 HttpSecurity csrf

✅ 사이트 간 요청 위조

• 최근의 Java기반의 웹 프로젝트는 대부분 Spring(스프링) 프레임워크 기반으로 구현되기 때문에
• 자연스럽게 Spring Security를 이용하여 보안관련 기능들을 구현하게 됩니다.
• 그중 CSRF(Cross Site Request Forgery : 사이트 간 요청 위조)는 개발중에는 매우 귀찮은 존재입니다.
• 웹에서 CSRF 프로텍션은 보안 대책으로 거의 필수적으로 요구되지만
• 개발 편의성 문제로 개발중에는 전혀 신경쓰지 않거나 비활성화해두는 경우가 많이 있습니다.
• 결국에는 보안점검을 통해 지적받고 일괄적으로 소스코드를 변경합니다.
• 하지만 급하게 고친 코드는 항상(?) 문제를 일으킵니다.
• 또한 운영중에도 잘못된 수정으로 배포후에 예외를 만나는 경우가 많이 있습니다.

🟦 AntPathRequestMatcher

• AntPathRequestMatcher 는
• AntPathRequestMatcher 에 설정한 자원정보와
• 클라이언트가 요청한 자원정보를
• 서로 비교해서 참인지 거짓인지 알려주는 기능을 하는 클래스

🟦 configure(AuthenticationManagerBuilder auth)

✅ configure(AuthenticationManagerBuilder auth)

    @Override
    public void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userDetails).passwordEncoder(passwordEncoder());
    }

• 입력받은 값과 DB의 값을 비교해서 로그인 처리를 한다

• POST로 들어온 아이디와 비밀번호는 누가 처리할까요?
• UserDetailsService와 PasswordEncoder가 처리하도록 정해져 있습니다!

1. DB에서 아이디로 사용자 정보를 조회한다 (=비밀번호 포함)
2. 입력받은 비밀번호를 인코딩한다
3. 인코딩한 비밀번호와 사용자 정보의 비밀번호를 비교한다

🟦 configure(WebSecurity web)

@Override
public void configure(WebSecurity web) throws Exception {
    web.ignoring().antMatchers("/css/**", "/js/**", "/img/**", "/error", "favicon.ico", "/resources/**");
}

• /error : 사용자마다 처음 로그인하고 나면 /error요청이 어딘가에서 생겨서 이것을 무시하라고 해서 그냥 쓰는 거다
• 정확하게는 잘 모른다.
• 그냥 이렇게 쓰면 에러 안뜬대서 쓴다고 한다

• favicon.ico : 크롬 브라우저는 title에 있는 홈페이지 고유의 이모디콘을 꼭 달라고 해서 준것이다

• resources는 나중에는 뺐다 이 요청은 안 올것 같다고 함

🟦 리다렉션 요청이 너무 많습니다

🔹 에러메시지

🔹 원인

    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().antMatchers("/css/**", "/js/**", "/img/**", "/error", "favicon.ico", "/resources/**");
    }

• "/resources/**"여기서 오타를 냈기 떄문이다.