[8/1 TIL] SPRING SECURITY(Architecture, FilterChainProxy, RequestCacheAwareFilter, ChannelProcessingFilter, AnonymousAuthenticationFilter, ExceptionTranslationFilter)

🍃프로그래머스 백엔드 데브코스 4기 교육과정을 듣고 정리한 글입니다.🍃

Architecture

그림 출처

• AuthenticationManager: 사용자 인증 관련 처리
• AccessDecisionManager: 사용자가 보호받는 리소스에 접근할 수 있는 적절한 권한이 있는지 확인

  사용자를 인증하고, 인증된 사용자가 리소스에 접근할 수 있는 적절한 권한이 있는지 확인하고, 만약 사용자가 적절한 인가가 없으면 AccessDecisionManager에서 403 Forbidden 에러를 낸다.

FilterChainProxy

그림 출처

• Spring Security의 실제적인 구현은 서블릿 필터(javax.servlet.Filter)를 통해 이루어짐
• FilterChainProxy 세부 내용은 SecurityFilterChain 빈을 통해 설정
  • 웹 요청은 이러한 FilterChain을 차례로 통과하면서 적절하게 동작함
  • 각 필터는 웹 요청에 따라 동작 여부를 결정할 수 있고, 동작이 필요 없다면 다음 필터로 넘김
  • 요청을 처리하고 응답을 반환하면 필터 체인 호출 스택은 모든 필터에 대해 역순으로 진행

웹 요청은 어떻게 FilterChainProxy로 전달될까?

DelegatingFilterProxy

• 웹 요청을 수신한 서블릿 컨테이너는 해당 요청을 DelegatingFilterProxy로 전달함
  • DelegatingFilterProxy Bean은 SecurityFilterAutoConfiguration 클래스에서 자동으로 등록됨
  • DelegatingFilterProxy는 실제적으로 웹 요청을 처리할 Target Filter Bean을 FilterChainProxy로 지정함

즉, 웹 요청은 FilterChain의 필터들을 통과하다가 DelegatingFilterProxy에 도달하면, FilterChainProxy로 전달되어 처리되는 것이다.

FilterChainProxy를 구성하는 Filter 목록

• Spring Security는 다양한 필터 구현을 제공함
• Spring Security를 잘 활용하기 위해선 이러한 Filter를 이해하고, 적절하게 사용할 수 있어야함
• 이러한 Filter들은 위의 표와 같이 순차적으로 동작함

RequestCacheAwareFilter

• 인증 요청에 의해 가로채어진 원래 요청으로 이동하는 필터

상황

1. 익명 사용자가 보호(인증, 인가) 받는 리소스에 접근
2. 접근 권한이 없기 때문에 FilterSecurityInterceptor에서 접근 거부 예외가 발생
3. ExceptionTranslationFilter가 발생한 접근 거부 예외를 처리
   
   • 현재 사용자가 익명 사용자라면, 해당 요청을 캐시처리하고, 로그인 페이지로 이동 시킴
4. 로그인 페이지에서 정상 로그인
5. RequestCacheAwareFilter가 캐시된 요청을 처리
   
   • 캐시된 요청이 있다면 캐시된 요청을 처리하고, 캐시된 요청이 없다면 현재 요청을 처리
   • ex) 이전에 요청했던 페이지로 redirect 또는 API 호출

ChannelProcessingFilter

• 전송 레이어 보안을 위해 SSL 인증서를 생성하고, 이를 Spring Boot 웹 어플리케이션에 적용하는 필터

HTTPS

• 클라이언트와 서버가 주고 받는 모든 데이터를 암호화
• 데이터 암호화를 위해 SSL을 사용
• SSL 암호화를 위해 SSL 인증서가 필요함

HTTPS 동작

1. 클라이언트가 서버에 접속 시, 서버는 신뢰할 수 있는 인증기관으로부터 발급된 SSL/TLS 인증서를 제공하고, 이 인증서에는 서버의 공개키와 서버 정보가 포함됨
2. 클라이언트는 서버가 제공한 인증서를 확인하고, 인증서에 포함된 공개키를 사용하여 서버를 검증하며, 이러한 과정을 SSL/TLS 핸드셰이크라고함
3. 클라이언트는 서버의 공개키를 사용하여 랜덤한 대칭 암호화 키(세션 키)를 암호화하여 서버로 전송
4. 서버는 자신의 개인키를 사용하여 클라이언트로부터 전송된 암호화된 대칭 암호화 키(세션 키)를 복호화
5. 이렇게 서버와 클라이언트는 서로 약속한 대칭 암호화 키(세션 키)를 사용하여 통신을 암호화함

SSL 인증서 생성

• SSL 인증서를 발급받기 위해서는 도메인과 발급 비용이 들기때문에 테스트 환경(개발 환경)에서는 java의 keytool 도구를 사용해서 임의로 생성
  • 실제 서비스에는 사용할 수 없음

3가지 작업이 필요

1. keystore 만들기: keytool -genkey -alias prgrms_keystore -keyalg RSA -storetype PKCS12 -keystore prgrms_keystore.p12
   
2. keystore에서 인증서 추출하기: keytool -export -alias prgrms_keystore -keystore prgrms_keystore.p12 -rfc -file prgrms.cer
   
3. trust-store 만들기: keytool -import -alias prgrms_truststore -file prgrms.cer -keystore prgrms_truststore.p12
   

SSL 인증서 적용

server:
  port: 443
  ssl:
    enabled: true
    key-alias: prgrms_keystore
    key-store: classpath:prgrms_keystore.p12
    key-store-password: 설정한 비밀번호
    key-password: 설정한 비밀번호
    trust-store: classpath:prgrms_truststore.p12
    trust-store-password: 설정한 비밀번호

• 위에서 직접 만든 prgrms_keystore.p12, prgrms_truststore.p12, 2개 파일을 resources 디렉토리로 복사 후 application.yml 설정

Spring Security 설정

	@Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        return http
                //생략 
                .requiresChannel(auth -> auth
                		.anyRequest().requiresSecure()) //모든 요청이 HTTPS로 요청 돼야함 
               	.build();
    }

• 기존 SecurityFilterChain 빈에 ChannelProcessingFilter 설정
• http.requiresChannel()는 URL이 요청된 프로토콜(HTTP 또는 HTTPS)과 일치하는지 검사

AnonymousAuthenticationFilter

• 익명 사용자를 나타내는 인증 객체를 생성하는 필터
• 해당 필터에 요청이 도달할때까지 사용자가 인증되지 않았다면, 사용자를 null 대신 Anonymous 인증 타입으로 표현
• 사용자가 null인지 확인하는것보다 구체적인 타입으로 확인할 수 있도록함
  
  • 인증되지 않은 사용자면, "principal"과 "authorities"로 인증되지 않은 사용자를 대표하는 인증 객체를 생성

Spring Security 설정

	@Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        return http
                //생략 
                .anonymous(auth -> auth
                		.principal("thisIsAnonymousUser") //익명 사용자의 식별자를 설정
                        .authorities("ROLE_ANONYMOUS", "ROLE_UNKNOWN")) //익명 사용자에게 부여되는 권한 설정(접두사 "ROLE_" 를 사용)
               	.build();
    }

• 기존 SecurityFilterChain 빈에 AnonymousAuthenticationFilter 설정
• http.anonymous()는 익명 사용자에 대한 설정

ExceptionTranslationFilter

• SecurityFilterChain에서 FilterSecurityInterceptor 바로 위에 위치하며, 인증 과정(FilterSecurityInterceptor 실행)에서 발생하는 예외를 처리
  • AuthenticationException(인증 관련 예외)이며, 이 예외를 잡아 사용자를 로그인 페이지로 보냄
  • AccessDeniedException(접근 거부 예외)이며, 이 예외를 잡아 접근 거부 페이지를 보여주거나 사용자를 로그인 페이지로 보냄
• ExceptionTranslationFilter는 SecurityFilterChain에서 자기 아래에 오는 필터들에서 발생하는 예외들에 대해서만 처리
• 따라서 커스텀 필터를 추가해야 하는 경우 이를 고려해야함

AccessDeniedException 핸들러 설정

	@Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        return http
                //생략 
               	.exceptionHandling(auth -> auth
                		.accessDeniedHandler(accessDeniedHandler())) //AccessDeniedHandler를 설정
               	.build();
    }


	//Custom AccessDeniedHandler
	@Bean
    public AccessDeniedHandler accessDeniedHandler() {
        return (request, response, accessDeniedException) -> {
            Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
            Object principal = authentication != null ? authentication.getPrincipal() : null;
            log.warn("{} is denied", principal);
            response.setStatus(HttpServletResponse.SC_FORBIDDEN);
            response.setContentType("text/plain");
            response.getWriter().write("## ACCESS DENIED ##");
            response.getWriter().flush();
            response.getWriter().close();
        };
    }

• 기본적으로 AccessDeniedException 예외를 처리하기 위한 핸들러가 구현되어 있음
  • org.springframework.security.web.access.AccessDeniedHandlerImpl 클래스
• 하지만 위의 코드와 같이 사용자 정의 AccessDeniedHandler 설정 가능함
• 기존 SecurityFilterChain 빈에 ExceptionTranslationFilter 설정
• http.exceptionHandling()는 예외 처리를 설정