[8/3 TIL] SPRING SECURITY(SecurityContextHolderFilter, SessionManagementFilter, 인가 처리)

🍃프로그래머스 백엔드 데브코스 4기 교육과정을 듣고 정리한 글입니다.🍃

SecurityContextHolderFilter

• SecurityContextRepository 인터페이스 구현체를 통해 사용자의 SecurityContext를 가져오거나 갱신함
  • 인증 관련 필터 중 가장 최 상단에 위치하며, 이미 인증된 사용자는 다시 로그인할 필요가 없음
  • SecurityContext가 존재하지 않는다면, empty SecurityContext를 생성함

동작과정

1. 사용자가 로그인을 시도하여 인증 정보를 제출
2. UsernamePasswordAuthenticationFilter 또는 다른 인증 필터가 사용자의 인증 정보를 처리하고, Authentication 객체를 생성
3. 인증 매니저(AuthenticationManager)는 해당 Authentication 객체를 검증하고, 사용자가 인증되었다고 판단하면, 인증된 사용자를 나타내는 SecurityContext 객체를 생성
4. SecurityContextHolderFilter는 생성된 SecurityContext 객체를 가져와서, HttpSession에 저장
5. 인증된 사용자는 해당 세션에서 다른 요청을 보낼 때마다, SecurityContextHolderFilter가 요청을 수신하여 해당 세션에서 SecurityContext 가져옴
6. 사용자는 인증된 사용자로 간주되어 애플리케이션의 보호된 자원에 접근 가능

SessionManagementFilter

• 세션 고정 보호 (session-fixation protection)
  • 인증 전에 발급 받은 세션 ID가 인증 후에도 동일하게 사용되면 정상 사용자의 세션을 탈취하여 인증을 우회하고, 악의적으로 사용될 수 있음
  • 즉, 인증 전에 사용자가 가지고 있던 세션이 인증 후에는 사용되지 않도록 하면 해당 공격에 효과적으로 대응할 수 있음
  • Spring Security에서는 4가지 설정 가능한 옵션을 제공
    • none: 아무것도 하지 않음 (세션을 그대로 유지함)
    • newSession: 새로운 세션을 만들고, 기존 데이터는 복제하지 않음
    • migrateSession: 새로운 세션을 만들고, 데이터를 모두 복제함
    • changeSession: 새로운 세션을 만들지 않지만, session-fixation 공격을 방어함
• 유효하지 않은 세션 감지 시 지정된 URL로 리다이렉트 시킴
• 세션 생성 전략 설정
  • IF_REQUIRED: 필요시 생성함 (기본값)
  • NEVER: Spring Security에서는 세션을 생성하지 않지만, 세션이 존재하면 사용함
  • STATELESS: 세션을 완전히 사용하지 않음 (JWT 인증이 사용되는 REST API 서비스에 적합)
  • ALWAYS: 항상 세션을 사용함
• 동일 사용자의 중복 로그인 감지 및 처리
  • maximumSessions: 동일 사용자의 최대 동시 세션 갯수
  • maxSessionsPreventsLogin: 최대 갯수를 초과하게 될 경우 인증 시도를 차단할지 여부 (기본값 false)
• AbstractAuthenticationProcessingFilter 객체는 SessionManagementFilter와 동일한 세션 고정 보호, 최대 로그인 세션 제어를 수행함

Spring Security 설정

	@Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        return http
                //생략 
                .sessionManagement(auth -> auth
                		.sessionFixation().changeSessionId() //session-fixation 공격을 방어하기 위해 세션 ID 변경
                        .sessionCreationPolicy(SessionCreationPolicy.IF_REQUIRED) //사용자가 인증되면 세션을 생성
                        .invalidSessionUrl("/") //세션이 끝날경우, 사용자를 "/"로 이동시킴
                        .maximumSessions(1) //동시 허용되는 세션 수를 1로 설정, 한 사용자만 로그인 가능
                        .maxSessionsPreventsLogin(false)) //최대 세션수에 도달했을 때, 새로운 로그인을 허용(새 로그인시, 이전 세션을 만료)
               	.build();
    }

• 기존 SecurityFilterChain 빈에 SessionManagementFilter 설정
• http.sessionManagement()는 사용자 세션과 관련된 보안 설정을 하는 세션 관리자 설정

인가(Authorization) 처리

• 인가(Authorization): 권한이 부여된 사용자들만 특정 기능 또는 데이터에 접근을 허용하는 기능이며, 이를 위해 인가 처리는 두 개의 작업으로 구분
  • 인증된 사용자와 권한(역할)을 매핑: ROLE_USER, ROLE_ADMIN, ROLE_ANONYMOUS
  • 보호되는 리소스에 대한 권한 확인: 관리자 권한을 가진 사용자만 관리자 페이지에 접근 가능

FilterSecurityInterceptor

• 필터 체인 상에서 가장 마지막에 위치하며, 사용자가 갖고 있는 권한과 리소스에서 요구하는 권한을 취합하여 접근을 허용할지 결정함
  • 실질적으로 접근 허용 여부 판단은 AccessDecisionManager 인터페이스 구현체에서 아래 3가지를 취합하여 이루어짐
    • Authentication(사용자 객체): SecurityContexHolder에서 가져옴
    • FilterInvocation: 현재 요청에 대한 정보 제공
    • ConfigAttributes(리소스에서 요구하는 권한): SecurityMetadataSource에서 가져옴
• FilterSecurityInterceptor 필터가 호출되는 시점에서 사용자는 이미 인증이 완료되고, Authentication 인터페이스의 getAuthorities() 메소드를 통해 인증된 사용자의 권한 목록을 가져올수 있음
  • 이때 익명 사용자도 인증이 완료된 것으로 간주하며, ROLE_ANONYMOUS 권한을 갖음
• 보호되는 리소스에서 요구하는 권한 정보는 SecurityMetadataSource 인터페이스를 통해 ConfigAttribute 타입으로 가져옴

AccessDecisionManager 인터페이스

• 사용자가 갖고 있는 권한과 리소스에서 요구하는 권한을 확인하고, 사용자가 적절한 권한을 갖고 있지 않다면 접근 거부 처리함
• AccessDecisionVoter 목록을 갖고 있음
• AccessDecisionVoter들의 투표(vote)결과를 취합하고, 접근 승인 여부를 결정하는 3가지 구현체를 제공함
  • AffirmativeBased: AccessDecisionVoter가 승인하면 이전에 거부된 내용과 관계없이 접근이 승인됨 (기본값)
  • ConsensusBased: 다수의 AccessDecisionVoter가 승인하면 접근이 승인됨
  • UnanimousBased: 모든 AccessDecisionVoter가 만장일치로 승인해야 접근이 승인됨

AccessDecisionVoter 인터페이스

int ACCESS_GRANTED = 1;
int ACCESS_ABSTAIN = 0;
int ACCESS_DENIED = -1;

int vote(Authentication authentication, S object, Collection<ConfigAttribute> attributes);

• AccessDecisionVoter는 접근을 승인할지 거절할지 혹은 보류할지 vote()로 판단함
• 구현체로 WebExpressionVoter가 있음

WebExpressionVoter 구현체

• SpEL 표현식을 사용해 접근 승인 여부에 대한 규칙을 지정할 수 있음
• SpEL 표현식 처리를 위해 DefaultWebSecurityExpressionHandler 그리고 WebSecurityExpressionRoot 구현에 의존함
• WebSecurityExpressionRoot 클래스는 SpEL 표현식에서 사용할수 있는 다양한 메소드를 제공