웹 애플리케이션 개발에서 보안은 필수적 요소인데 ,
Spring Security는 Spring 프레임워크의 일부로 웹 애플리케이션의 보안을 강화하는 데 사용되는 강력한 보안 프레임워크이다. 이 글에서 Spring Security의 기본 개념과 주요 기능을 알아보고, 간단한 예제를 통해 적용하는 방법을 알아보겠다.
Spring Security란?
Spring Security는 인증(Authentication)과 권한부여(Authorization)를 중심으로 하는 웹 애플리케이션 보안 프레임워크이다. 기본적으로 세션 기반의 인증을 제공하며, 보다 고급기능들을 포함하고 있다. 주요 기능은 다음과 같다.
1. 인증(Authentication) - 사용자의 자격을 확인하는 과정
2. 권한부여(Authorization) -인증된 사용자에게 특정 리소스에 대한 접근을 허용하거나 거부하는 과정
3. CSRF (Cross-Site Request Forgery) 보호
4. 기본적인 로그인 및 로그아웃 기능 제공
5. OAuth2, JWT 등 다양한 인증 방식 지원
Servlet Filter Chain란?
Servlet Filter Chain은 Java 웹 애플리케이션에서 사용되는 개념으로, 클라이언트로부터의 요청을 처리하기 전에 여러 개의 필터를 통해 요청을 가공하거나 검사하는 메커니즘을 말한다. 필터는 일련의 작업을 수행한 후에 요청을 다음 필터로 전달하거나, 응답을 반환한다. 이러한 필터들의 연속적인 구성을 'Filter Chain'이라고 한다.
Servlet Filter는 웹 애플리케이션에서 요청과 응답에 대한 공통적인 처리를 하는 데 사용되는데 , 예를 들어
인증, 로깅, 데이터 압축, 인코딩 및 보안과 관련된 작업을 수행할 수 있다. 필터들은 서로 다른 순서로 구성되어 실행될 수 있으며, 웹 애플리케이션에 필요한 기능을 제공한다.
Servlet Filter Chain은 요청이 실제로 처리되기 전에 필터들을 순차적으로 실행하고, 처리가 완료된 후에 응답을 반환하는 구조로 이루어져 있기 때문에 필터를 통과하지 못한 요청은 실제 서비스 로직에 도달하지 못한다.
이를 이용해서 개발자는 웹 애플리케이션의 보안 및 성능을 향상시킬 수 있다.
Spring Security는 이러한 Servlet Filter Chain의 개념을 활용하여 자체 필터 체인을 구성하고, 보안과 관련된 작업을 처리한다. 예를 들어 인증, 권한 확인, CSRF 보호 등의 기능을 제공하는 여러 필터를 포함하고 있다.
이를 통해 Spring Secrurity는 Java 웹 애플리케이션에 강력한 보안 기능을 제공할 수 있다.
ⓒCodeStates
DelegatinFilterProxy와 FilterChainProxy에 관한 내용 -> https://cordcat.tistory.com/95
Spring Security 설정 및 적용
의존성 추가
먼저, 프로젝트에 Spring Security 를 사용하기 위해 의존성을 추가해야 한다.
Gradle 또는 Maven을 사용하는 경우 아래와 같이 추가한다.
// Gradle
implementation 'org.springframework.boot:spring-boot-starter-security'
<!-- Maven -->
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
보안 처리 필터 설정
'SecurityFilterChain'은 Spring Security에서 필터 체인을 구성하는 인터페이스이다.
이 인터페이스는 요청에 대한 보안 처리를 수행하는 일련의 필터들의 순서와 관련된 설정을 정의한다.
각 필터는 요청을 검사하고, 필요한 보안 작업을 수행한 뒤, 다음 필터로 전달하거나, 보안 요구사항에 맞지 않는 요청의 경우 처리를 중단한다.
@Configuration
public class SecurityConfiguration {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.headers().frameOptions().sameOrigin()
.and()
.csrf().disable()
.formLogin()
.loginPage("/auths/loginn-form")
.loginProcessingUrl("/process_login")
.failureUrl("/auths/login-form?error")
.and()
.logout()
.logoutUrl("/logout")
.logoutSuccessUrl("/")
.and()
.exceptionHandling().accessDeniedPage("/auths/access-denied")
.and()
.authorizeHttpRequests(authorize -> authorize
.antMatchers("/orders/**").hasRole("ADMIN")
.antMatchers("/members/my-page").hasRole("USER")
.antMatchers("/**")
.permitAll()
);
return http.build();
}
@Bean
public PasswordEncoder passwordEncoder() {
return PasswordEncoderFactories.createDelegatingPasswordEncoder();
}
}
위의 예제에서 'SecurityFilterChain' 빈을 정의하고, 'HttpSecurity'를 사용하여 보안 설정을 구성했다.
이를 통해 인증, 권한부여, 로그인, 로그아웃, 예외 처리 등의 보안 기능을 설정할 수 있다.
#Spring Security 5.2 이후부터 SecurityFilterChain 방식을 사용할 수 있는데 이전에는 WebSecurityConfigurerAdapter를 사용했었다.
사용자 인증 정보 설정
Spring Security에서 인증 정보를 관리하기 위해 'UserDetailsService' 인터페이스를 구현해야 한다.
이 인터페이스의 'loadUserByUasername' 메서드는 사용자 이름을 기반으로 사용자 정보를 로드하는 역할을 수행한다.
@Component
public class HelloUserDetailsServiceV3 implements UserDetailsService {
private final MemberRepository memberRepository;
private final HelloAuthorityUtils authorityUtils;
public HelloUserDetailsServiceV3(MemberRepository memberRepository, HelloAuthorityUtils authorityUtils) {
this.memberRepository = memberRepository;
this.authorityUtils = authorityUtils;
}
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
Optional<Member> optionalMember = memberRepository.findByEmail(username);
Member findMember = optionalMember.orElseThrow(() -> new BusinessLogicException(ExceptionCode.MEMBER_NOT_FOUND));
return new HelloUserDetails(findMember);
}
private final class HelloUserDetails extends Member implements UserDetails {
HelloUserDetails(Member member) {
setMemberId(member.getMemberId());
setFullName(member.getFullName());
setEmail(member.getEmail());
setPassword(member.getPassword());
setRoles(member.getRoles());
}
@Override
public Collection<? extends GrantedAuthority> getAuthorities() {
return authorityUtils.createAuthorities(this.getRoles());
}
@Override
public String getUsername() {
return getEmail();
}
@Override
public boolean isAccountNonExpired() {
return true;
}
@Override
public boolean isAccountNonLocked() {
return true;
}
@Override
public boolean isCredentialsNonExpired() {
return true;
}
@Override
public boolean isEnabled() {
return true;
}
}
}
결론
Spring Security는 웹 애플리케이션의 보안 요건을 충족시키는 데 필요한 다양한 기능을 제공하는 강력한 보안 프레임 워크이다. 이번 글에서는 간단한 예시들과 이론 내용을 통해 Spring Security의 필요성 및 하는 일에 대해 알아봤지만, 실제 어떻게 구현을 해서 어떤 식으로 사용되는지는 회원가입, 로그인, 비밀번호 설정, 각종 권한에 따른 행동제약 등등 특정 동작을 직접 구현해보아야 할 것이다.
'Spring' 카테고리의 다른 글
MapStruct / Spring MVC에서 DTO오 Entity간의 매핑 처리하기 (0) | 2023.03.18 |
---|---|
Spring Security 권한 부여 (0) | 2023.03.17 |
Spring Security [DelegatingFilterProxy, FilterChainProxy] (0) | 2023.03.16 |
Java Spring _ MockMvc를 사용한 API 테스트 (0) | 2023.03.06 |
Java Spring_@Builder (0) | 2023.03.05 |