Spring Security 개요 및 인증방식 ( 세션 / 토큰 / OAuth )

Spring Security

。Spring 생태계의 REST API와 Web Application의 보안(인증: Authentication / 인가: Authorization 등)을 제공하는 Spring Framework
▶ 여러 개발자들에 의해서 관리되고 있음

。Spring Security를 통해 보안에 필요한 기능을 제공함으로써 개발자가 보안 관련 logic을 따로 작성할 필요는 없음.

implementation 'org.springframework.boot:spring-boot-starter-security'

• Complete Mediation :
  。Spring Security의 의존성이 적용되는 경우 어플리케이션의 모든 Resource가 보호되어 접근하는 모든 API호출에 대해 Security Filter Chain에 의한 Authentication을 수행.
  ▶ 기존에 Controller Method에 의해 정의된 API 외에도 존재하지않는 API를 호출하는 경우에도 자격증명을 요구.
  
  。Spring Security 6.x 부터는 체이닝 방식이 아닌, 람다기반 설정방식 권장
  
  。Spring Filter Chain을 통해 Customize가 가능한 유연한 Security System을 제공하여 사용자에게 적절한 Authentication과 Authorization이 부여.

Spring Security 원리
。Spring MVC 패턴에서 REST API 호출을 위한 Dispatcher Servlet으로 전송되는 모든 HTTP Request를 Spring Security가 Intercept하여 Spring Filter Chain을 통해 HTTP Request의 Authorization과 Authentication을 검증 후 Dispatcher Servlet으로 전달하여 최종적으로 Contoller로 전달.

Spring Filter Chain에 의한 사용자인증정보에 대한 검증 순서

1. HTTP Request의 Authorization Header에 포함된 JWT Token을 서버로 전송 시 검증 전의 미완성된 Authentication 구현체 생성
。해당 Authentication 구현체는 Authorization header에 포함된 사용자인증정보를 credentials로 포함하고 나머지 authorities, principal는 null


2. Controller의 매개변수로 사전에 AuthenticationManager객체.authenticate(Authentication구현체)로 검증을 수행
。AuthenticationManager객체 내에서 사용자인증정보에 적합한 검증기능을 지닌 AuthenticationProvider를 식별 후 검증 수행
▶ JWT인 경우 JwtAutheticationProvider를 사용하여 검증

。UserDetailsService를 호출하여 매개변수로 전달된 Authentication instance의 Credentials 정보에서 포함된 username에 해당하는 사용자정보를 DB에서 조회 후 UserDetails 객체로 return.
▶ Authentication instance의 Credentials의 Password와 UserDetails instance의 Password를 서로 비교하여 검증을 수행.


3. 검증 성공 시 HTTP Request의 principal, authorities, credentials 를 포함한 Authentication 구현체 생성
。 검증 실패 시 AuthenticationException 발생.

Spring Security의 인증방식
。인증방식 크게 4가지
。세션기반 / 토큰기반 / OAuth2.0 기반

세션기반 인증
。서버의 인증용도 DB에 사용자정보를 저장
▶ Server-Side에 사용자 세션을 저장하므로 보안성이 좋음

° 한 서버에서 사용자 세션을 저장 시 다른 서버에서는 해당 사용자정보를 알 수 없는 단점이 존재
▶ 세션클러스터링, 스티키세션 : 백엔드 서버를 다중으로 구성 시 세션 관리 용도의 서버를 설정하여 요청 시 항상 거쳐가도록하여 사용자세션을 해당 서버에서 저장 및 관리

。Session기반 인증방식은 클라이언트에서 서버에 특정 User에 대한 정보를 요청할때마다 일일이 세션ID의 일치여부를 확인.

• 세션은 서버 인메모리 DB에 저장
  。 Spring 상에 메모리 공간 상에 저장하며, 세션 용량이 과대해지는 경우 OOM이 발생할 수 있으므로, 따로 Redis를 통해서 통합해서 관리하기도 함

토큰기반 인증 ( JWT )
。사용자가 토큰을 서버에서 발급하여 보유하면서 서버에 인증용도로 포함하여 요청
▶ Client-Side에서 JWT 토큰을 저장