Spring Security
-
스프링 기반의 애플리케이션의 보안(인증, 인가, 권한)을 담당하는 스프링 하위 프레임워크이다.
-
보안 관련 옵션들을 많이 제공하며, 애너테이션으로 쉽게 설정할 수 있다.
-
CSRF 공격, 세션 고정 공격을 방어해주고, 요청 헤더도 보안처리를 해준다.
- CSRF 공격
CSRF(Cross-Site Request Forgery) 공격은 사용자의 권한을 가지고 특정 동작을 수행하도록 유도하는 공격을 의미한다.
- 세션 고정(Session Fixation) 공격
사용자의 인증 정보를 탈취하거나 변조하는 공격을 의미한다.
- 요청 헤더 보안 처리 이유
공격자들이 요청 헤더를 변경하거나 조작하여 XSS(크로스 사이트 스크립팅), HTTP 헤더 주입 등 악의적인 공격을 가할 수 있기 때문이다.
- CSRF 공격
인증과 인가
-
인증 ( Authentication )
사용자의 신원을 입증(증명)하는 과정이다.
ex. 사용자가 사이트에 로그인을 할 때 신원을 확인하는 과정. -
인가 ( Authorization )
사이트의 특정 부분에 접근할 수 있는지의 권한을 확인하는 작업이다.
ex. 관리자 홈페이지에 들어갈 때 관리자의 신원을 확인하여, 일반 사용자들은 관리자 홈페이지에 못 들어가도록 하는 것.
인증과 인가 관련 코드를 직접 작성 시 매우 많은 시간과 노력이 들지만, 스프링 시큐리티를 사용시 간단하게 처리할 수 있다.
필터 기반으로 동작하는 Spring Security
스프링 시큐리티는 필터 기반으로 동작하고, 각 필터에서 인증, 인가와 관련된 작업을 처리한다.
-
스프링 시큐리티의 필터 구조
- SecurityContextPersistenceFilter -> FilterSecurityInterceptor로 진행하며 오른쪽 인증과 인가 관련 작업들도 화살표 방향대로 순차적으로 처리하며 진행된다.
- UsernamePasswordAuthenticationFilter
아이디와 패스워드가 입력될 시 인증 요청을 위임하는 인증 관리자 역할을 한다.
- FilterSecurityInterceptor
권한 부여 처리를 위임해 접근 제어 결정을 하는 접근 결정 관리자 역할을 한다.
- SecurityContextPersistenceFilter -> FilterSecurityInterceptor로 진행하며 오른쪽 인증과 인가 관련 작업들도 화살표 방향대로 순차적으로 처리하며 진행된다.
-
필터 설명
- SecurityContextPersistenceFilter
SecurityConextRepository에서 SecurityContext(접근 주체와 인증에 대한 정보를 담고 있는 객체)를 가져오거나 저장하는 역할을 한다.
- LogoutFilter
설정된 로그아웃 URL로 오는 요청을 확인해 해당 사용자를 로그아웃 처리한다.
- UsernamePasswordAuthenticationFilter
폼 기반 로그인을 할 때 사용되는 필터로 아이디, 패스워드 데이터를 파싱해 인증 요청을 위임하는 인증 관리자이다. 인증이 성공하면 AuthenticationSuccessHandle를, 실패하면 AuthenticationFailireHandle을 실행한다.
- DefaultLoginPageGeneratingFilter
사용자가 로그인 페이지를 따로 지정하지 않았을 때 기본으로 설정하는 로그인 페이지 관련 필터이다.
- BasicAuthenticationFilter
요청 헤더에 있는 아이디와 패스워드를 파싱해서 인증 요청을 위임한다. 인증이 성공하면 AuthenticationSuccessHandle를, 실패하면 AuthenticationFailireHandle을 실행한다.
- RequestCacheAwareFilter
로그인 성공 후, 관련 있는 캐시 요청이 있는지 확인하고 캐시 요청을 처리한다. 예를 들어 로그인 하지 않은 상태로 방문했던 페이지를 기억해 두었다가 로그인 이후에 그 페이지로 이동시켜 준다.
- SecurityContextHolderAwareRequestFilter
HttpServletRequest 정보를 감싼다. 필터 체인 상의 다음 필터들에게 부가 정보를 제공되기 위해 사용한다.
- AnonymouseAuthenticationFilter
필터가 호출되는 시점까지 인증되지 않았다면 익명 사용자 전용 객체인 AnonymousAuthentication을 만들어 SequrutyContext에 넣어준다.
- SessionManagementFilter
인증된 사용자와 관련된 세션 관련 작업을 진행한다. 세션 변조 방지 전략을 설정하고, 유효하지 않은 세션에 대한 처리를 하고, 세션 생성 전략을 세우는 등의 작업을 처리한다.
- ExceptionTranslationFilter
요청을 처리하는 중에 발생할 수 있는 예외를 위임하거나 전달한다.
- FilterSecurityInterceptor
AccessDecisionManager로 권한 부여 처리를 위임함으로써 접근 제어 결정을 쉽게 해주는 접근 결정 관리자이다. 이 과정에서는 사용자가 이미 인증되어 있으므로 유용한 사용자인지도 알 수 있다. 즉, 인가 관련 설정을 할 수 있다.
- SecurityContextPersistenceFilter
출처 : Spring Security 인증 아키텍처
출처 : https://chathurangat.wordpress.com/category/spring-security/
-
사용자가 폼 아이디와 패스워드 입력시, HTTPServletRequest에 아이디와 비밀번호 정보가 전달된다. 이때 AuthenticationFilter가 넘어온 아이디와 비밀번호의 유효성 검사를 한다.
-
유효성 검사가 끝난 후 실제 구현체인 UsernamePasswordAuthenticationToken을 만들어 넘겨준다.
-
전달받은 인증용 객체인 UsernamePasswordAuthenticatrionToken을 AuthenticationManager에게 보낸다.
-
UsernamePasswordAuthenticationToken을 AuthenticationProvider에 보낸다.
-
사용자 아이디를 UserDetailService에 보낸다. UserDetailService는 사용자 아이디로 찾은 사용자의 정보를 UserDetails 객체로 만들어 AuthenticationProvider에게 전달한다.
-
DB에 있는 사용자 정보를 가져온다.
-
입력 정보와 UserDetails의 정보를 비교해 실제 인증처리를 한다.
-
~ 10. 의 인증 과정이 완료되면 SecurityContextHoledr에 Authentication를 저장하고, 인증 성공 여부에 따라 성공하면 AuthenticationSuccessHandler, 실패하면 AuthenticationFailureHandler를 실행한다.
해당 글은 다음 도서의 내용을 정리하고 참고한 글임을 밝힙니다.
신선영, ⌜스프링 부트 3 벡엔드 개발자 되기 - 자바 편⌟, 골든래빗(주), 2023, 384쪽
