[Spring] - 🔐 Spring Security

CodeByHan·2025년 4월 15일

스프링

목록 보기

22/33

🔐 Spring Security

Spring Security는 Spring 웹 애플리케이션에서 보안 기능을 제공하는 프레임워크

애플리케이션의 인증(Authentication), 인가(Authorization) 의 개념을 기반으로 웹 애플리케이션의 보안을 관리할 수 있도록 구성

🤔 인증(Authentication)

사용자의 신원을 확인하는 과정

예시) 로그인 시 아이디와 비밀번호를 입력하거나, 생체인식(지문, 얼굴 인식)을 사용하는 것

"누구인가?"를 확인

🤔 인가(Authorization)

인증된 사용자가 어떤 리소스에 접근할 수 있는 권한이 있는지 확인하는 과정

즉, 사용자가 특정 작업이나 데이터에 접근할 수 있는지를 결정

예시) 은행 앱에서 계좌 조회는 가능하지만, 다른 사람의 계좌는 볼 수 없는 경우

"무엇을 할 수 있는가?"를 결정

📌 흐름

Filters: 사용자의 요청이 서버에 도달하면 가장 먼저 필터(예: 스프링 시큐리티 필터 체인)를 거친다. 이 단계에서 인증, 인가, 로깅 등 다양한 사전 처리가 이루어진다..
DispatcherServlet: 필터를 통과한 요청은 DispatcherServlet으로 전달된다.
-> 자세한 정보는 스프링(Spring) - 서블릿(Servlet) 참고
Handler Interceptors: DispatcherServlet은 요청을 컨트롤러에 전달하기 전에 인터셉터를 거친다.
Controller: 마지막으로 컨트롤러에서 비즈니스 로직이 실행되고, 결과가 다시 역순으로 반환된다.

Filter

Servlet Filter는 요청(Request), 응답(Response) 객체를 변형하거나 참조할 수 있는 기능을 제공한다.
Filter는 특정 URL 패턴이나 서블릿에 매핑이 가능, Filter Chain 내에서 순차적으로 실행
Filter Chain은 여러개의 필터로 구성 가능, 각 Filter는 체인의 다음 Filter로 요청을 전달하거나, 처리 중단이 가능하다.
Spring Security는 FilterChainProxy를 이용하여 Filter를 활용하며, FilterChainProxy에서는 체이닝 필터로 SecurityFilterChainProxy을 사용한다.

public class FilterChainProxy extends GenericFilterBean {

    ...

    private SecurityContextHolderStrategy securityContextHolderStrategy;
    private List<SecurityFilterChain> filterChains;
    private FilterChainValidator filterChainValidator;
    private HttpFirewall firewall;
    private RequestRejectedHandler requestRejectedHandler;
    private ThrowableAnalyzer throwableAnalyzer;
    private FilterChainDecorator filterChainDecorator;
    
    
    ...
    
  }

public interface SecurityFilterChain {
    boolean matches(HttpServletRequest request);
    List<Filter> getFilters();
}

SecurityFilterChain는 요청에 대한 필터링을 위해, Filter를 포함하며, 해당 Filter는 다음과 같이 서블릿에서 정의한 Filter다

package jakarta.servlet;

import java.io.IOException;

public interface Filter {
    default void init(FilterConfig filterConfig) throws ServletException {
    }

    void doFilter(ServletRequest var1, ServletResponse var2, FilterChain var3) throws IOException, ServletException;

    default void destroy() {
    }
}

📌 SecurityContextHolder

Spring Security에서 인증 정보를 저장하고 접근하는데 핵심적인 역할을 하는 클래스
주로 애플리케이션 내에서 인증된 사용자 정보를 관리하는데 사용
주요 역할은 사용자의 인증 정보를 애플리케이션 전반에 걸쳐 쉽게 접근 할 수 있도록 하는 것
특정 페이지나, API 호출 시에 사용자의 인증 정보가 필요하면, SecurityContextHolder 를 통해 간편하게 Authentication 객체를 가져와 인증 상태를 확인하거나, 인가에 대한 내용 확인 가능
기본적으로 ThreadLocal을 사용

SecurityContext

현재 인증된 사용자의 정보를 담고 있는 인터페이스
Authentication 객체를 포함
사용자 로그인 -> Authentication 객체 생성 -> Authentication 객체 SecurityContext에 저장 -> 어디서든 SecurityContext 를 통해 현재 사용자 인증 정보 접근 가능

Authentication

Principal : getPrincipal() 메서드를 통해 접근 가능, 보통 사용자의 고유 식별자를 나타냅니다. 일반적으로 UserDetails 객체이거나, 사용자명(username)을 나타내는 String일 수 있다.
Credentials : getCredentials() 메서드를 통해 접근할 수 있으며, 사용자의 인증 정보(비밀번호)를 나타낸다.

Authorites : getAuthorities() 메서드를 통해 접근할 수 있으며, 사용자가 가지고 있는 권한(또는 역할)의 목록을 제공. 이 권한들은 GrantedAuthority 인터페이스의 구현체로 표현

Authenticated: isAuthenticated() 메서드를 통해 현재 사용자가 인증되었는지 여부를 반환. 인증이 성공적으로 이루어진 경우, 이 값은 true

Authentication 흐름

UserDetails

Spring Security에서 사용자 인증을 처리할 때 사용
사용자의 이름, 비밀번호, 권한 등을 포함한 사용자 정보를 캡슐화하는 인터페이스로, Spring Security는 이를 통해 사용자가 인증 가능한지 확인

메소드	반환 타입	설명	기본값
getAuthorities()	Collection<? extends GrantedAuthority>	사용자 권한 목록 반환
getPassword()	String	사용자 비밀번호 반환
getUsername()	String	사용자 고유 값 반환
isAccountNonExpired()	boolean	계정 만료 여부 반환	true (만료 안됨)
isAccountNonLocked()	boolean	계정 잠김 여부 반환	true (잠기지 않음)
isCredentialsNonExpired()	boolean	비밀번호 만료 여부 반환	true (만료 안됨)
isEnabled()	boolean	계정 활성화 여부 반환	true (활성화 됨)

UserDetailsService

사용자명(username)을 기반으로 UserDetails 객체를 로드하는 역할을 하며, 사용자 인증 과정에서 필요한 사용자 정보를 데이터베이스나 다른 저장소에서 가져오는 데 사용
상황에 따라 커스텀 가능

public class CustomUserDetailService implements UserDetailsService {
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        return null;
    }
}

자주쓰는 Spring Security 설정

@Configuration
public class SecurityConfig {
    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
      return http
    }
}

SecurityFilterChain : Spring Security에서 웹 애플리케이션의 보안 정책(인증, 인가 등)을 설정하고, 이를 필터 체인 형태로 등록하는 역할

@Configuration
public class SecurityConfig {
    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
      return http
               .csrf(csrf -> csrf.disable()) // csrf 기능 제거
    }
}

.csrf(csrf -> csrf.disable()) : Spring Security에서 CSRF(Cross-Site Request Forgery) 보호 기능을 비활성화하는 설정
.cors(cors -> cors.disable()) : CORS 비활성화

.formLogin(
         form -> {
              form
.failureForwardUrl("/login?error=true")
// 로그인 실패 시 지정한 URL로 forward(내부 이동). URL은 바뀌지 않고, 실패 페이지를 보여준다.

.successForwardUrl("/")
//  로그인 성공 시 지정한 URL로 forward(내부 이동). URL은 바뀌지 않고, 추가 처리가 필요할 때 사용.

.defaultSuccessUrl("/")
//  로그인 성공 시 지정한 URL로 redirect(외부 이동). URL이 실제로 변경되며, 가장 일반적으로 사용.

usernameParameter("loginId")
//  로그인 폼에서 아이디 입력란의 name 속성을 "loginId"로 사용하도록 지정. (기본값: "username")

.passwordParameter("loginPwd")
//   로그인 폼에서 비밀번호 입력란의 name 속성을 "loginPwd"로 사용하도록 지정. (기본값: "password")

.loginProcessingUrl("/signin")
//   로그인 폼이 제출될 때 인증 처리를 담당하는 URL을 지정. (POST 요청 시 이 URL로 인증 처리)

.loginPage("/signin")
//   인증이 필요한 사용자가 접근 시 보여줄 로그인 페이지의 URL을 지정. (GET 요청 시 로그인 폼 제공)

.permitAll()
//   로그인 관련 페이지(로그인 폼, 로그인 처리 등)는 인증 없이 누구나 접근할 수 있도록 허용

Customizer.withDefaults()
//   위의 모든 커스텀 설정 없이, Spring Security의 기본 formLogin 설정을 그대로 사용
)

.logout(logout -> {
logout.logoutUrl("/signout")
//   로그아웃을 처리할 URL을 지정. (POST 요청 시 로그아웃 처리)

.logoutSuccessUrl("/")
//   로그아웃 성공 후 이동할 URL을 지정. (redirect 방식)

.invalidateHttpSession(true)
//   로그아웃 시 현재 HTTP 세션을 무효화(삭제). (세션에 저장된 정보 모두 삭제)

.clearAuthentication(true)
//   로그아웃 시 `SecurityContext`에 저장된 인증(Authentication) 정보를 삭제. (쓰레드 로컬에서 제거)

.deleteCookies("JSESSIONID")
//   로그아웃 시 지정한 쿠키(JSESSIONID)를 삭제. (서버와 클라이언트 모두에서 세션 쿠키 제거)
 }
)

.authorizeHttpRequests(
         auth -> { 
auth.requestMatchers("/signup", "/signin").anonymous()
//   "/signup", "/signin" 경로는 로그인하지 않은(anonymous) 사용자만 접근할 수 있다.
//   이미 로그인한 사용자는 접근할 수 없다..

.requestMatchers("/user/**").hasRole("MEMBER")
//   "/user/**" 경로는 "MEMBER" 권한(역할)이 있는 사용자만 접근 가능하다.

.anyRequest().authenticated()
// 위에서 지정한 경로 외의 모든 요청은 인증된 사용자만 접근 가능하다.
//   (로그인하지 않은 사용자는 접근 불가)
})