Spring Security 권한 부여

Spring Security는 애플리케이션에 보안을 적용할 수 있도록 도와주는 프레임워크입니다.

권한 부여는 사용자가 요청한 자원에 대한 접근을 허용하거나 거부하는 기능을 제공합니다.

이 글에서는 Spring Security의 권한 부여에 대해 간단하게 정리해 보겠습니다.

 

Spring Security의 컴포넌트로 보는 권한 부여(Authorization) 처리 흐름        ⓒCodeStates

 

 

1. 권한 부여 기본 원리

 

Spring Security는 권한 부여를 위해 사용자의 권한과 요청 자원의 권한을 비교합니다. 사용자의 권한은 사용자가 로그인하면서 인증 과정에서 얻어지며, 요청 자원의 권한은 개발자가 설정해야 합니다.

 

 

 

 

2. 사용자의 권한 설정

 

사용자의 권한은 'UserDetails' 인터페이스의 구현 클래스를 이용해 설정할 수 있습니다. 일반적으로 'User' 클래스를 사용해 권한을 설정하며, 다음과 같이 생성할 수 있습니다.

User.withUsername("user")
    .password("{noop}password")
    .roles("USER")
    .build();

'roles' 메서드를 이용하여 사용자에게 권한을 부여할 수 있습니다. 권한은 여러 개 부여할 수 있으며, 각 권한은 접두사 'ROLE_'가 붙은 형태로 저장됩니다.

 

 

 

 

3. 자원에 대한 권한 설정

 

자원에 대한 권한은 'HttpSecurity'객체를 사용하여 설정할 수 있습니다.

'authorizeRequests()' 메소드를 이용해 다양한 권한 설정을 적용할 수 있습니다.

http
    .authorizeHttpRequests(authorize-> authorize
    .antMatchers("/admin/**").hasRole("ADMIN")
    .antMatchers("/user/**").hasRole("USER")
    .anyRequest().authenticated();

위의 예시에서 '/admin/**' 경로에 대한 접근은 'ADMIN' 권한을 가진 사용자만 허용하고, '/user/**' 경로에 대한 접근은 'USER' 권한을 가진 사용자만 허용합니다.

 

#authorizeHttpRequest() 랑 authorizeRequests()는 기능적 차이는 없으며

authorizeHttpRequest()가 Java 8 Lambda 스타일로 코드를 작성한다는 차이만 있다

 

 

4. 메소드 보안

메소드메서드 수준에서 권한을 설정할 수도 있습니다. '@PreAuthorize' 어노테이션을 사용해 메서드 실행 전에 권한을 확인할 수 있습니다.

@PreAuthorize("hasRole('ADMIN')")
public void deletePost(Long id) {
    // 게시물 삭제 로직
}

위의 예시에서 'deletePost()' 메소드는 'ADMIN'권한을 가진 사용자만 실행할 수 있습니다.

 

 

 

 

 

5. 접근 거부 처리

 

사용자가 권한이 없는 자원에 접근하려고 할 때, 접근 거부 처리를 구현할 수 있습니다. Spring Security는 기본적으로 사용자가 권한이 없는 자원에 접근하려고 할 때, 'AccessDeniedException'을 발생시키며 403 Forbidden 응답을 반환합니다. 하지만 이러한 기본 동작을 사용자 지정으로 변경할 수 있습니다.

 

 

 

5-1. 접근 거부 페이지 설정

 

'HttpSecurity' 객체를 사용하여 접근 거부 페이지를 설정할 수 있습니다.

'exceptionHandling()' 메소드를 이용해 다음과 같이 설정할 수 있습니다.

http
    .exceptionHandling()
    .accessDeniedPage("/accessDenied");

 

 

 

5-2. 접근 거부 핸들러 설정

 

커스텀 접근 거부 핸들러를 만들어 사용할 수도 있습니다. 먼저, 'AccessDeniedHandler' 인터페이스를 구현하는 클래스를 작성해야 합니다.

public class CustomAccessDeniedHandler implements AccessDeniedHandler {

    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response,
                       AccessDeniedException accessDeniedException) throws IOException {
        // 커스텀 접근 거부 처리 로직
    }
}

이제 작성한 'CustomAccessDeniedHandler'를 'HttpSecurity' 객체에 설정해야 합니다.

http
    .exceptionHandling()
    .accessDeniedHandler(new CustomAccessDeniedHandler());

이렇게 설정하면, 사용자가 권한이 없는 자원에 접근하려고 할 때

'CustomAccessDeniedHandler'의 'handle()' 메서드가 호출되어 커스텀 로직을 실행할 수 있습니다.

 

이상으로 Spring Security의 권한 부여 및 접근 거부 처리에 대해 간략하게 살펴보았습니다.

이를 통해 보안 강화된 웹 애플리케이션을 구축할 수 있습니다.