[Beyond SW] 🚧Spring Security

이경민·3일 전

한화시스템 Beyond SW

목록 보기

38/40

Spring Security

스프링 기반어플리케이션 보안(인증, 인가)을 담당하는 스프링 하위 프레임워크
Java 애플리케이션에 인증과 권한 부여를 모두 제공하는 데 중점을 둔 프레임워크

특징

모든 URL 요청을 가로챈 뒤 인증 요구하며 login form 제공
여러가지 Servlet API 메소드 제공
인증 및 권한 부여에 대한 확장이가능하도록 지원함
웹 애플리케이션을 CSRF 공격으로부터 보호

인증

사용자 증명
보호된 리소스에 접근하는 사용자를 식별하는 과정.

인가

권한 부여
인증된 사용자가 시스템자원에 대한 접근 시 권한이 있는지 확인하는 과정.

보안 주체

보안 시스템이 작동되고 있는 애플리케이션에 접근하는 유저(Principal이라고 함)
리소스에 접근하는 대상의 비밀번호는 Credential

원리

스프링 시큐리티에서 요청이 들어오면 해당 요청은 서블릿 필터들로 개발한 시큐리티 필터를 동작시킴(여러가지 필터들이 순서대로 동작)

SecurityContextPersistenceFilter SecurityContextRepository에서 SecurityContext 객체를 로딩하여 SecurityContextHolder에 저장하고, 요청 처리가 끝나면 제거한다.
LogoutFilter 지정한 경로의 요청이 들어오면 로그아웃하고 지정한 페이지로 이동하며 이후 필터들을 진행하지 않는다.
UsernamePasswordAuthenticationFilter 로그인 요청이 들어오면 아이디/비밀번호 기반의 인증을 수행하여 성공하면 지정한 페이지로 이동하고 실패 시 로그인 화면을 보여준다.
DefaultLoginPageGeneratingFilter 로그인 요청이 들어올 시 로그인 화면을 출력하고 이후 필터를 진행하지 않는다.
AnonymousAuthentiactionFilter 사용자가 인증을 받지 못할 시 Authentication 객체를 생성하여 SecurityContext에 설정한다.
생성된 Authentication의 아이디는 "anonymouseUser"이며 권한은 "ROLE_ANONYMOUS"로 인증되지 않은 상태 값을 가진다.
SessionManagementFilter 세션 타임아웃, 동시 접근 제어, 세션 고정 공격등을 처리한다.
ExceptionTranslationFilter FilterSecurityInterceptor에서 발생한 예외를 403 코드로 응답하거나 로그인 페이지로 이동하는 작업을 진행한다.
FilterSecurityInterceptor 현재 사용자가 지정한 경로에 접근할 수 있는지에 대한 여부를 검사하며 권한이 있으면 보안필터를 통과시켜 자원에 접근시키고 권한이 없으면 예외를 발생 시킨다.

중요필터

UsernamePasswordAuthenticationFilter : 사용자의 인증 정보 이용해 '인증' 처리
FilterSecurityInterceptor : 인증에 성공한 사용자가 해당 리소스에 접근할 권한이 있는지 검증('인가')

1. 브라우저에서 사용자가 입력한 아이디와 비밀번호에 대한 요청이 들어옴
2. AuthenticationFilter가 요청 받아 UsernamePasswordAuthenticationToken 생성
3. Authentication Manager가 List형태로 지닌 Provider들을 차례로 확인. 각 Provider의supports 메소드 확인
4. supports 메소드 호출해 처리 가능한 AuthenticationProvider 선택.
5. UserDetailsService 구현한 클래스에서 Spring Security가 관리하는 사용자 정보 형태인 UserDetails를 반환값으로 가지는 오버라이딩된 loadUserByUsername을 확인
6. 오버라이딩된 loadUserByUsername 메소드의 로직에 따라 DB에서 사용자의 데이터를 꺼내어 UserDetails로 반환
7. 인증이 완료되면 인메모리 저장소인 SecurityContextHolder가 SecrityContext에 Authentication 객체 저장. 이후 인증된 사용자 정보 필요 시 Securitycontextholder.getcontext().getauthentication()으로 인증된 authentication 객체 꺼냄