1. Filter는 무엇인가?
-
Spring Framework의 보안 처리를 위한 필터입니다. 웹 애플리케이션의 인증과 인가를 관리하며, 사용자에게 적절한 접근 권한을 부여해 주기 위해 사용됩니다.
-
클라이언트에게 요청을 받으면 Controller에 가기 전에 Filter 설정을 통해 어떤 경우에만 지나갈 수 있도록 하여 인증, 인가를 허용해주는 곳 입니다.
대표적인 기능으로는
① 인증(Authentication): 사용자의 진본성 여부를 확인하며, 아이디와 비밀번호 또는 소셜 로그인 등 사용자의 맞춤형 인증 절차를 제공합니다.
② 인가(Authorization): 인증된 사용자가 특정 자원에 접근할 수 있는 권한을 확인합니다. 이를 통해 사용자별로 다른 접근 권한을 설정할 수 있습니다.
③ 세션 관리(Session Management): 사용자의 세션을 관리하고 지속적으로 추적합니다. 이를 통해 사용자가 로그아웃하거나 세션이 만료될 때, 사용자를 로그아웃하게 만듭니다.
④ CSRF(Cross-Site Request Forgery) 방지: 웹 사이트에서 발생할 수 있는 CSRF 공격을 방지하기 위한 기능을 제공합니다.
2. Filter 종류
(1) SecurityContextPersistenceFilter
-
Spring Security의 필터 중 하나로서, 사용자의 세션 내에 보안 컨텍스트(Security Context) 정보를 저장하고, 복원하는 역할을 수행합니다. 이 필터는 사용자의 인증 상태를 세션에 저장하고 요청이 발생할 때마다 해당 정보를 이용하여 사용자의 인증 상태를 복원합니다.
동작방식으로는
① HttpServletRequest와 HttpServletResponse 객체에 기반하여 사용자의 보안 컨텍스트를 설정하고, 여기에 사용자의 인증 정보를 저장합니다.
② 요청이 처리되는 동안 사용자의 보안 컨텍스트가 변경될 경우, 해당 정보를 세션에 저장하여 웹 애플리케이션의 매 요청 시 사용자의 인증 정보를 유지할 수 있도록 돕습니다.
③ 요청 처리가 완료된 후에는 SecurityContextHolder의 내용을 기본 설정으로 되돌립니다.
이 필터를 이용하면 사용자의 인증 상태를 세션에 저장하고 각 요청 시 적절한 보안 컨텍스트 정보를 읽어와 인증 정보를 복원하는 기능을 제공하고, 웹 애플리케이션의 인증 관리에 큰 도움을 줍니다.
(2) BasicAuthenticationFilter
-
HTTP Basic Authentication을 처리하는 역할을 담당합니다. HTTP Basic Authentication은 웹 표준 인증 방식 중 하나로, 사용자 이름과 비밀번호를 Base64 인코딩하여 HTTP 헤더인 Authorization에 포함시키는 방식으로 인증 정보를 전달합니다.
-
로그인한 사용자의 정보를 헤더에 저장하는 역할을 하여 세션을 관리해줌
동작방식으로는
① 인증 요청 확인: 들어오는 HTTP 요청의 헤더에서 Authorization 헤더를 확인하여 Basic Authentication 요청인지 검증합니다.
② 사용자 인증 정보 추출: 인증 요청이 확인되면, Base64로 인코딩된 사용자 이름과 비밀번호를 디코딩한 후 사용자 인증 정보를 추출합니다.
③ 인증 처리: 추출된 인증 정보를 기반으로 사용자 인증을 수행하고, 인증된 사용자의 경우 SecurityContextHolder에 인증 정보를 설정합니다. 인증되지 않은 사용자는 거부되거나 다음 단계로 이동할 수 없습니다.
④ 체인 필터 처리: 정상적인 사용자 인증이 처리되면, 필터 체인에 다른 필터들을 실행하여 추가 보안 기능을 적용하거나 요청을 처리합니다.
BasicAuthenticationFilter는 사용자 인증 정보를 간편하게 전달받아 인증을 수행하는 기능을 제공하며, 추가적인 코드 작성 없이도 구현할 수 있는 장점이 있습니다. 하지만 Basic Authentication은 암호화되지 않기 때문에 중간자 공격이나 패킷 스니핑에 취약하여, 실제 상용 환경에서는 HTTPS와 함께 사용해야 보안성을 향상할 수 있습니다. 따라서 JWT를 통해 단점을 보완할 수 있습니다.
@Override protected void configure(HttpSecurity http) throws Exception { // basic authentication http.httpBasic(); // basic authentication filter 활성화 http.httpBasic().disable(); // basic authentication filter 비활성화 }
(3) UsernamePasswordAuthentcationFilter
-
사용자 이름과 비밀번호를 기반으로 하는 인증 처리를 담당합니다. 일반적인 웹 애플리케이션에서 사용자는 로그인 폼을 통해 사용자 이름과 비밀번호를 입력하여 인증을 요청합니다. 이 때UsernamePasswordAuthenticationFilter가 요청을 처리하게 됩니다. (로그인창에서 사용자가 입력한 정보와 데이터베이스에 저장된 값을 비교하여 인증을 할때 사용하는 필터)
동작방식으로는
① 사용자 인증 요청 확인: 들어오는 HTTP 요청에서 사용자 이름과 비밀번호 정보를 확인하여 인증 요청인지 검증합니다.② 사용자 인증 정보 추출: 인증 요청이 확인되면, 사용자 이름과 비밀번호를 추출하여 인증 토큰을 생성합니다. 이 인증 토큰을 Authentication 객체로 변환하는 과정을 거칩니다.
③ 인증 처리: 생성된 Authentication 객체를 이용하여 사용자 인증을 수행하고, 인증된 사용자의 경우 SecurityContextHolder에 인증 정보를 설정합니다. 인증되지 않은 사용자는 다음 단계로 이동할 수 없습니다.
④ 인증 성공 혹은 실패 처리: 사용자가 인증에 성공하면, 성공 처리기(AuthenticationSuccessHandler)를 통해 다음 동작을 처리합니다. 예를 들어, 로그인 성공 시 특정 페이지로 리다이렉트할 수 있습니다. 인증에 실패한 경우, 실패 처리기(AuthenticationFailureHandler)를 통해 실패에 대한 처리를 수행할 수 있습니다. 이를 통해 오류 메시지를 전달하거나 다른 페이지로 넘어가도록 설정할 수 있습니다.
⑤ 체인 필터 처리: 정상적인 사용자 인증이 처리되면, 필터 체인에 다른 필터들을 실행하여 추가 보안 기능을 적용하거나 요청을 처리합니다.
// SpringSecurityConfig 파일 안에 작성 @Bean @Override public UserDetailsService userDetailsService() { return username -> { User user = userService.findByUsername(username); if (user == null) { throw new UsernameNotFoundException(username); } return user; }; }
(4) CsrfFilter
- 웹 애플리케이션에서 발생할 수 있는 CSRF(Cross-Site Request Forgery) 공격을 방지하는 역할을 수행합니다. CSRF 공격은 공격자가 사용자의 권한을 가지고 악의적인 명령을 실행하려는 공격 유형입니다. 이를 방지하기 위해, 웹 애플리케이션은 요청에 대한 고유한 토큰을 사용하여 해당 요청이 정당한지 확인해야 합니다.
-
CsrfFilter는 프로젝트에 CSRF 보호를 제공하는 방법입니다. 이 필터는 HTTP 요청을 처리하며 CSRF 공격으로 간주될 수 있는 요청을 차단합니다. 이 때 공격으로 간주되는 요청은 다음과 같은 조건을 충족합니다.
-
HTTP 요청이 변경 가능한 유형 (POST, PUT, DELETE, PATCH 등) 일 경우.
-
요청에 포함된 CSRF 토큰이 유효하지 않거나 존재하지 않을 경우.
동작방식으로는
① 요청에 포함된 CSRF 토큰 검증: CsrfFilter는 요청에 포함된 CSRF 토큰이 존재하고 유효한지 확인합니다. 이를 통해 요청이 정당한 사용자에게서 발생했는지 검증할 수 있습니다. 처음 로그인을 할때 header에 자동으로 생기게 되고 POST,PUT,DELETE,PATCH 등 데이터가 변경되는 곳에서는 세션에 저장되어 있는 header의 CSRF 토큰값과 서버에 저장되어 있는 값과 비교하여 일치시 허용해 줍니다.② 헤더 및 폼 필드 토큰 일치 여부 확인: 필터는 사용자 세션에 저장된 CSRF 토큰과 HTTP 요청 필드에 있는 CSRF 토큰을 비교하여 일치하는지 확인합니다. 일치하지 않을 경우, 요청을 차단합니다.
③ 요청 거부: CSRF 공격으로 판단되는 요청이 발견되면 CsrfFilter는 이를 거부하여 애플리케이션에 영향을 주지 않도록 합니다. 이 과정에서 AccessDeniedHandler 인터페이스를 구현하는 것으로 사용자 정의 방식으로 요청 거부 처리를 할 수 있습니다.
@Override protected void configure(HttpSecurity http) throws Exception { // basic authentication http.httpBasic().disable(); // basic authentication filter 비활성화 // csrf http.csrf(); }
-
(5) RememberMeAuthenticationFilter
-
사용자가 쿠키 또는 다른 저장 매체를 사용하여 로그인 상태를 유지하도록 하는 기능을 제공합니다. 이 필터는 사용자가 로그아웃하지 않고 웹 애플리케이션을 종료한 후에도 로그인 상태를 유지할 수 있게 도와줍니다.
-
일반적인 세션보다 훨씬 오랫동안 로그인 사실을 기억할 수 있도록 해줍니다. Session의 세션 만료 시간은 기본 설정이 30분이지만 해당 필터는 기본 설정이 2주입니다. 따라서 로그인할때 로그인 유지하기 버튼 혹은 아이디 저장하기 버튼에 사용됩니다.
동작방식으로는
① 인증 정보 확인: 사용자가 인증 정보를 가지고 있는지 확인합니다. 인증 정보가 없는 경우에는 저장 매체를 검색하여 'Remember me' 토큰을 찾습니다.② 'Remember me' 토큰 유효성 검사: 토큰이 유효한지 확인한 후, 토큰으로부터 사용자 정보를 복원합니다.
③ 인증 정보 생성 및 저장: 복원된 사용자 정보를 이용해 새로운 Authentication 객체를 생성하고, SecurityContextHolder에 이를 설정합니다. 이를 통해 웹 애플리케이션은 로그인 상태를 유지할 수 있습니다.
④ 필터 체인 처리: 인증 정보가 존재하거나 'Remember me' 토큰의 유효성 검사에 성공하면, 필터 체인의 다음 필터를 호출하여 추가적인 보안 처리를 수행하고 요청을 처리합니다.
따라서 세션은 단기간만 저장하고 창을 끄게되면 정보가 사라지지만 해당 필터는 장기간 저장하고 창을 닫았다 다시 켜도 로그인 상태가 유지가 되어 있습니다
@Override protected void configure(HttpSecurity http) throws Exception { // basic authentication http.httpBasic().disable(); // basic authentication filter 비활성화 // csrf http.csrf(); // remember-me http.rememberMe(); }
(6) AnonymousAuthenticationFilter
-
인증이 안된 유저가 요청을 하면 Anonymous(익명) 유저로 만들어 Authentication에 넣어주는 필터입니다. 인증되지 않았다고 해도 Null을 넣는 것이 아니라 기본 Authentication(ex. 방문자)을 만들어 줘서 인증 과정을 거치지 않은 사용자에 대해 일정 수준의 접근 권한을 제공하려는 웹 애플리케이션에 사용됩니다.
동작방식으로는
① 인증 객체 확인: 사용자가 이미 인증되었는지 확인합니다. 이미 인증된 사용자가 있다면 필터는 다음 필터로 처리를 전달합니다.② 익명 사용자 인증 생성: 인증되지 않은 사용자에게 AnonymousAuthenticationToken을 생성하고 이를 SecurityContextHolder에 설정합니다. 그 결과 인증되지 않은 사용자도 일정 권한이 부여됩니다. 이때 저장되는 값은 principal( )을 통해 다른 값으로도 저장이 가능합니다(아래 코드 참조)
③ 필터 체인 처리: 사용자가 익명 사용자 인증 정보를 가지게 되면 필터 체인의 다음 필터를 호출하여 추가적인 처리를 수행하고 요청을 처리합니다.
@Override protected void configure(HttpSecurity http) throws Exception { // basic authentication http.httpBasic().disable(); // basic authentication filter 비활성화 // csrf http.csrf(); // remember-me http.rememberMe(); // anonymous http.anonymous(); // 기본값 저장 http.anonymous().principal("방문자"); // 저장값 임의 값으로 저장 http.anonymous().principal(new visitant()); // 객체로도 저장 가능 }
(7) FilterSecurityInterceptor
-
웹 애플리케이션의 각 리소스 또는 URL에 대한 접근 권한을 확인하고 관리하는 역할을 수행합니다. 이 필터는 요청이 실제 리소스에 도달하기 전에 해당 요청에 대한 접근 권한을 결정하는 중요한 단계입니다.
-
위에서 사용한 필터인 SecurityContextPersistenceFilter, UsernamePasswordAuthentcatonFilter, AnonymousAuthenticationFilter에서 SecurityContext(유저 정보)를 찾거나 만들어서 넘겨주고 해당 필터에서 해당 유저의 권한에 대한 접근 허가를 필터링 해줍니다.
-
해당 필터는 다른 필터들보다 나중에 실행이 되어야 합니다.
(8) ExceptionTranslationFilter
-
위의 FilterSecurityInterceptor에서 발생할 수 있는 두가지 Exception을 처리해주는 필터입니다.
-
보안과 관련된 예외 처리를 담당합니다. 웹 애플리케이션에서 인증 및 권한 관련 예외가 발생할 때, 이 필터는 해당 예외를 적절한 방법으로 처리하고 사용자에게 응답을 전달합니다.
-
보안 체인 내에서 다른 보안 필터들 뒤에 위치해야 합니다. 이렇게 하면 다른 필터에서 발생하는 예외들을 처리할 수 있습니다. 따라서 FilterSecurityInterceptor 필터보다 뒤에 존재해야 합니다.
ExceptionTranslationFilter는 주로 다음 두 가지 종류의 예외를 처리합니다.
① AuthenticationException: 인증 과정에서 발생한 예외로, 사용자가 입력한 인증 정보(예: 사용자 이름/비밀번호)가 올바르지 않을 때 발생합니다. 이 예외가 발생하면, ExceptionTranslationFilter는 인증 실패를 처리하도록 설정한 AuthenticationEntryPoint를 호출합니다. 일반적인 경우에는 로그인 페이지로 리다이렉션하는 역할을 합니다.
② AccessDeniedException: 인증은 성공했지만 사용자에게 해당 리소스에 대한 접근 권한이 부족할 때 발생합니다. 이 예외가 발생하면, ExceptionTranslationFilter는 접근 거부를 처리하도록 설정한 AccessDeniedHandler를 호출합니다. 일반적으로 접근 거부와 관련된 페이지(예: 403 Forbidden 페이지)로 이동하게 됩니다.
