[Spring] 스프링 시큐리티(Spring Security)

Java/Spring

[Spring] 스프링 시큐리티(Spring Security)

벼리01 2024. 3. 21. 23:23

📌환경

IntelliJ Ultimate

Java 17

SpringBoot 3.2.3

📌스프링 시큐리티(Spring Security)란?

인증(Autentication)과 인가(Autorization), 데이터 보호 기능을 포함하여 사용자의 권한을 관리할 수 있도록 도와주는 Spring의 프레임워크. 약간의 코드와 설정만으로 로그인 처리와 자동 로그인, 로그인 후처리 등을 처리하여 개발자가 보안에 관한 기능을 빠르게 구현할 수 있도록 도와준다.

✔️ 인증(Autentication): 스스로를 증명함. 참이라는 근거가 있는 무언가를 확인하거나 확증하는 행위. 사용자가 스스로를 증명하기 위하여 자신의 정보(아이디 및 비밀번호)를 제공하고 이를 통해 인증을 완료하는 로그인 개념이 여기에 속한다.

✔️ 인가(Autorization): 허가 또는 권한. 리소스에 대한 접근 권한 및 정책을 지정하는 기능. 인증을 마친 사용자일지라도 요청하는 곳에 접근 권한이 있는지 확인하는 과정을 뜻한다. 신뢰할 수 있는 사용자는 리소스에 무제한적인 접근이 허용되기 때문에 반드시 인증을 통해 신원이 확인되어야 한다. 시스템 리소스가 원치 않은 용도로 사용되는 것을 피하기 위해서는 부분적으로 신뢰할 수 있는 사용자나 게스트의 경우 제한된 리소스만 접근할 수 있도록 설정해야한다.

✔️ 접근 주체(Principal): 리소스에 접근하는 대상.

✔️ 권한(Role): 인증된 주체가 리소스에 접근 및 애플리케이션의 동작을 수행할 수 있도록 허락되었는지 판단할 때 사용됨.

📌흐름

Spring Security는 필터(Filter)를 통해서 동작하기 때문에 Web MVC와 분리되어 관리 및 동작한다. 필터는 `Dispatcher Servlet` 이전에 적용된다는 점에서 `Interceptor`와 차이가 있다.

1. 사용자가 특정 리소스를 요청하면 `DispatcherServlet`이 요청을 받아 처리하는데, 이때 `DispatcherServlet`가 요청을 받기 전에 `Filter`가 요청을 가로채어 `Authotication Manager`로 요청을 위임한다.

2. 사용자가 인증하기 위하여 정보를 제출하면 `Authotication Manager`가 등록된 `Authotication Provider`를 조회하며 인증을 요구한다.

3. `Authotication Provider`가 실제 데이터를 조회하여 `UserDetails`를 반환한다.

4. 반환된 결과가 `securitycontextholder`에 저장되어 사용자의 정보를 Spring Controller에서 사용할 수 있게 된다.

스프링 시큐리티는 아무런 설정이 없으면 모든 리소스(자원)에 인증을 요구한다. 즉, 설정이 없으면 유저가 어떤 url에 접근하더라도 `/login`으로 튕겨낸다. 로그인하지 않아도 볼 수 있도록 설정하거나 특정 페이지만 인증을 요구하고 싶다면 개발자가 직접 설정을 작성해야한다. 자바 코드로 `SecurityFilterChain`을 반환하는 `@Bean`을 생성하여 설정할 수 있다.

이때 인증을 위한 로그인 페이지와 정적 리소스는 시큐리티를 적용할 필요가 없으므로 메서드 설정을 추가한다.

package com.ezen.management.config;

import lombok.extern.slf4j.Slf4j;
import org.springframework.boot.autoconfigure.security.servlet.PathRequest;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.configuration.EnableGlobalAuthentication;
import org.springframework.security.config.annotation.method.configuration.EnableMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityCustomizer;
import org.springframework.security.config.annotation.web.configurers.AbstractHttpConfigurer;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.SecurityFilterChain;

@Configuration
@Slf4j
@EnableMethodSecurity(prePostEnabled = true)
public class CustomSecurityConfig {

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {

//        해당 메서드를 작성하면 필터를 커스텀할 수 있음

        http.authorizeHttpRequests(request ->
                        request.requestMatchers("/member/login", "/css/**", "/images/**", "/js/**")
                                .permitAll()
                                .anyRequest()
                                .authenticated();


        return http.build();

    }

    @Bean
    public WebSecurityCustomizer webSecurityCustomizer() {
//        정적 리소스에 시큐리티 적용하지 않음
        return (web -> web.ignoring().requestMatchers(PathRequest.toStaticResources().atCommonLocations()));
    }




//  스프링 시큐리티는 기본적으로 PasswordEncoder라는 존재를 필요로 함
//  BCryptPasswordEncoder 는 가장 무난히 사용되는 패스워드 인코더
    @Bean
    public PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }


}

`filterChain()` 메서드가 동작하면 이전과 달리 모든 페이지에 접근할 수 있다.

📌인증 처리

스프링 시큐리티는 기존의 로그인 방식과 달리 아이디와 비밀번호를 한번에 조회하는 것이 아니라 사용자가 인증을 위해 제출한 username, 즉 아이디만으로 사용자의 정보를 불러온 뒤 비밀번호가 일치하는지 검증한다. 인증 처리는 `Authentication Provider`가 처리하는데, `Authentication Provider`와 그 이하의 처리 과정은 개발자가 직접 건드릴 일이 거의 없으므로 대부분의 경우 실제로 인증 처리를 담당하는 객체만을 설정한다.

스프링 시큐리티에서 가장 중요한 객체는 실제로 인증을 처리하는 `UserDetailService`라는 인터페이스의 구현체다. `UserDetailService`는 `UserDetail`을 반환하는 `loadUserByUsername()`이라는 단 하나의 메서드를 가지는데, 이 메서드가 실제로 인증을 처리할 때 호출되는 부분이다. 개발자는 `UserDetailService`인터페이스의 구현체를 작성하여 인자로 넘겨받은 아이디(username)를 사용하여 인증을 구현한다.

package com.ezen.management.security;

import com.ezen.management.domain.Member;
import com.ezen.management.dto.MemberSecurityDTO;
import com.ezen.management.repository.MemberRepository;
import lombok.extern.slf4j.Slf4j;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.stereotype.Service;

import java.util.Optional;
import java.util.stream.Collectors;

@Service
@Slf4j
public class CustomUserDetailService implements UserDetailsService {

    private PasswordEncoder passwordEncoder;

    @Autowired
    private MemberRepository memberRepository;

    public CustomUserDetailService(PasswordEncoder passwordEncoder) {
        this.passwordEncoder = new BCryptPasswordEncoder();
    }

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        Optional<Member> result = memberRepository.getByIdWithRoles(username);


        if(result.isEmpty()){
            throw new UsernameNotFoundException("Username Not Found......");
        }

        Member member = result.get();

        return new MemberSecurityDTO(
                member.getId(),
                member.getPwd(),
                true,	//	enabled
                true,	//	accountNonExpired
                true,	//	credentialsNonExpired
                true,	//	accountNonLocked
                member.getRoleSet()	//	Set<MemberRole>
                        .stream()	//	Stream<MemberRole>
                        .map(role -> new SimpleGrantedAuthority("ROLE_" + role.name()))	//	Stream<SimpleGrantedAuthority>
                        .collect(Collectors.toList()));
    }
}

이제 `CustomSecurityConfig`에 기본 로그인 페이지 대신 커스텀 로그인 페이지를 지정하고, 로그인 처리 경로(url)를 `/member/login`로 지정해준다.

@Configuration
@Slf4j
@EnableMethodSecurity(prePostEnabled = true)
public class CustomSecurityConfig {

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {

//        해당 메서드를 작성하면 필터를 커스텀할 수 있음

        http.authorizeHttpRequests(request ->
                        request.requestMatchers("/student/login", "/member/login", "/css/**", "/images/**", "/js/**")
                                .permitAll()
                                .anyRequest()
                                .authenticated())
                .formLogin(formLogin -> formLogin.loginPage("/member/login").loginProcessingUrl("/member/login"))
                .csrf(AbstractHttpConfigurer::disable);


        return http.build();

    }

    ...

}

스프링 시큐리티는 기본적으로 GET 방식을 제외한 모든 요청(POST/PUT/DELETE) 요청에 CSRF 토큰을 요구한다. 따라서 csrf 토큰을 전송하지 않으면 403(Forbidden) 에러가 발생한다. 이 글에서는 후에 JWT를 사용할 것이기 때문에 CSRF 토큰을 비활성화 처리했다.

스프링 시큐리티의 가장 중요한 점은 실제 로그인 처리를 수행하는 POST 방식에 대한 코드를 작성하지 않는다는 것이다. 위에서 `CustomSecurityConfig`를 작성할 때 로그인 처리 경로를 `/member/login`으로 지정했기 때문에 스프링 시큐리티 내부에서 POST 방식의 로그인 요청을 처리한다. 개발자는 GET 방식으로 `/member/login`에 접근했을 때 커스텀 로그인 페이지를 매핑하기 위한 코드를 `Controller`에 작성해주기만 하면 된다.

📌참고

자바 웹 개발 워크북 - 구멍가게 코딩단

Spring Security :: Spring Security

If you are ready to start securing an application see the Getting Started sections for servlet and reactive. These sections will walk you through creating your first Spring Security applications. If you want to understand how Spring Security works, you can

docs.spring.io

Spring Security란? 사용하는 이유부터 설정 방법까지 알려드립니다! I 이랜서 블로그

홈페이지에 인증 및 권한 기능을 빠르게 부여해 인증 및 권한 보호 기능을 손쉽게 추가할 수 있는 Spring의 프레임워크 중 하나인 ‘Spring Security’에 대해 이랜서에서 자세히 알려드립니다. I spring

www.elancer.co.kr

[SpringBoot] Spring Security란?

대부분의 시스템에서는 회원의 관리를 하고 있고, 그에 따른 인증(Authentication)과 인가(Authorization)에 대한 처리를 해주어야 한다. Spring에서는 Spring Security라는 별도의 프레임워크에서 관련된 기능

mangkyu.tistory.com

[SpringSecurity] AbstractAuthenticationProcessingFilter 완전 정복

Abstract processor of browser-based HTTP-based authentication requests.브라우저 기반의 Http 기반 인증에 대한 추상 프로세서이다.GenericFilterBean의 상속을 받고 있고, subclass로는 OAut

velog.io

'Java > Spring' 카테고리의 다른 글

[SpringBoot] 페이지네이션(Pagination) (0)	2024.03.26
[Spring] 리다이렉션한 횟수가 너무 많습니다. (0)	2024.03.24
[SpringBoot] Spring Security 사용 시 deprecated (0)	2024.03.16
_(underscore)로 연결된 uuid와 원본 파일명 잘라서 보관하기 (0)	2024.03.16
[SpringBoot] Swagger UI에서 MultipartFile 설정이 되지 않는 오류 (0)	2024.03.15

🌟🌟🌟