[Spring] Spring Security 프레임워크

thingzoo·2023년 6월 28일
0

Spring

목록 보기
38/54
post-thumbnail
post-custom-banner

Spring Security

'Spring Security' 프레임워크는 Spring 서버에 필요한 인증 및 인가를 위해 많은 기능을 제공해준다.

프로젝트 설정

dependency 추가

// Security
implementation 'org.springframework.boot:spring-boot-starter-security'

Spring Security 설정

@Configuration
@EnableWebSecurity // Spring Security 지원을 가능하게 함
public class WebSecurityConfig {

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        // CSRF 설정
        http.csrf((csrf) -> csrf.disable());

        http.authorizeHttpRequests((authorizeHttpRequests) ->
                authorizeHttpRequests
                        .requestMatchers(PathRequest.toStaticResources().atCommonLocations()).permitAll() // resources 접근 허용 설정
                        .anyRequest().authenticated() // 그 외 모든 요청 인증처리
        );

        // 로그인 사용
        http.formLogin(Customizer.withDefaults());

        return http.build();
    }
}

🔥 CSRF(사이트 간 요청 위조, Cross-site request forgery)
공격자가 인증된 브라우저에 저장된 쿠키의 세션 정보를 활용하여 웹 서버에 사용자가 의도하지 않은 요청을 전달하는 것

  • CSRF 설정이 되어있는 경우, html에서 CSRF 토큰값을 넘겨주어야 요청을 수신 가능하다.
  • 쿠키 기반의 취약점을 이용한 공격이기 때문에 REST 방식의 API에서는 disable 가능하다.
  • POST 요청마다 처리해 주는 대신 CSRF protection 을 disable 하겠다.
    • http.csrf((csrf) -> csrf.disable());

Spring Security의 default 로그인 기능

Spring Security에서는 default로 로그인 기능을 제공해준다.

  • Username: user
  • Password: Spring 로그 확인 (서버 시작 시마다 변경됨)

Spring Security 이해하기

Spring Security - Filter Chain

  • Spring에서 모든 호출은 DispatcherServlet을 통과하게 되고 이후에 각 요청을 담당하는 Controller로 분배된다.
  • 이 때, 각 요청에 대해서 공통적으로 처리해야할 필요가 있을 때 DispatcherServlet 이전에 단계가 필요한데 그것이 Filter
  • Spring Security도 인증 및 인가를 처리하기 위해 Filter를 사용하는데
    • Spring Security는 FilterChainProxy를 통해서 상세로직을 구현하고 있다.

Form Login 기반 인증

  • Form Login 기반 인증은 인증이 필요한 URL 요청이 들어왔을 때
    • 인증이 되지 않았다면, 로그인 페이지를 반환하는 형태

UsernamePasswordAuthenticationFilter

  • UsernamePasswordAuthenticationFilter는 Spring Security의 필터인 AbstractAuthenticationProcessingFilter를 상속한 Filter
  • 기본적으로 Form Login 기반을 사용할 때 username 과 password를 확인하여 인증
  • 인증 과정
    1. 사용자가 username과 password를 제출하면 UsernamePasswordAuthenticationFilter는 인증된 사용자의 정보가 담기는 인증 객체인 Authentication의 종류 중 하나인 UsernamePasswordAuthenticationToken을 만들어 AuthenticationManager에게 넘겨 인증을 시도한다.
    2. 실패하면 SecurityContextHolder를 비운다.
    3. 성공하면 SecurityContextHolder에 Authentication를 세팅한다.

SecurityContextHolder

  • SecurityContext는 인증이 완료된 사용자의 상세 정보(Authentication)를 저장한다.
  • SecurityContext는 SecurityContextHolder 로 접근할 수 있다.
// 예시코드
SecurityContext context = SecurityContextHolder.createEmptyContext();
Authentication authentication = new UsernamePasswordAuthenticationToken(principal, credentials, authorities);
context.setAuthentication(authentication); // SecurityContext 에 인증 객체 Authentication 를 저장합니다.

SecurityContextHolder.setContext(context);
  • UsernamePasswordAuthenticationToken는 Authentication을 implements한 AbstractAuthenticationToken의 하위 클래스로, 인증객체를 만드는데 사용

Authentication

  • 현재 인증된 사용자를 나타내며 SecurityContext에서 가져올 수 있다.
  • principal : 사용자를 식별
    • Username/Password 방식으로 인증할 때 일반적으로 UserDetails 인스턴스
  • credentials : 주로 비밀번호, 대부분 사용자 인증에 사용한 후 비움
  • authorities : 사용자에게 부여한 권한을 GrantedAuthority로 추상화하여 사용
// UserDetails
@Override
public Collection<? extends GrantedAuthority> getAuthorities() {
    UserRoleEnum role = user.getRole();
    String authority = role.getAuthority();

    SimpleGrantedAuthority simpleGrantedAuthority = new SimpleGrantedAuthority(authority);
    Collection<GrantedAuthority> authorities = new ArrayList<>();
    authorities.add(simpleGrantedAuthority);

    return authorities;
}

Authentication authentication = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());

UserDetailsService 인터페이스

UserDetailsService는 username/password 인증방식을 사용할 때 사용자를 조회하고 검증한 후 UserDetails를 반환한다. Custom하여 Bean으로 등록 후 구현하여 사용 가능하다.

UserDetails 인터페이스

검증된 UserDetails는 UsernamePasswordAuthenticationToken 타입의 Authentication를 만들 때 사용되며 해당 인증객체는 SecurityContextHolder에 세팅된다. 마찬가지로 Custom하여 구현하여 사용가능하다.

profile
공부한 내용은 바로바로 기록하자!
post-custom-banner

0개의 댓글