[구현] Spring Security 왜 쓰는데?

 Spring Security란?

정의 by 공식문서

강력하고 사용자 정의가 가능한 인증 및 액세스 제어 프레임워크 Spring 기반 애플리케이션 보안의 (사실상의) 표준

 

특징

• 인증 및 권한 부여에 대한 포괄적이고 확장 가능한 지원
• session fixation(유효한 요청 하이재킹), clickjacking(웹사이트 사용자를 속여 자신도 모르게 악성 링크를 클릭하도록 하는 인터페이스 기반 공격), CSRF(인증된 사용자가 그들이 현재 인증된 웹 애플리케이션에 요청을 보내도록 강요하는 공격) 등과 같은 공격으로부터 보호
• 서블릿 API 통합

 

💡 확장성이 특징인 프레임워크인만큼, 사용 법에 정답이 없습니다!!

 

Spring Security Architecture

Spring Security는 Servlet Filter를 기반으로 작동합니다.

 

Servlet Filter란?

1. client가 application에 request를 보낸다
2. container가 FilterChain 을 만든다
   → request URI 경로에 기반한 HttpServletRequest 를 처리해야 하는 Filter instance들과  Servlet(Spring에서는 DispatcherServlet의 instance임) 을 포함하고 있음

대부분의 경우에서 서블릿은 하나의 HttpServeltRequest를 처리할 수 있습니다.

하지만, 여러개의 필터는 요청이 중간의 어느 필터에서 걸러졌을 때,

• 하위 Filter 혹은 Servlet이 호출되지 않게 할 수 있음 → 불필요한 리소스 사용 줄임, 보안 강화
• 요청이나 응답을 수정해서 넘길 수 있음 → 보안 강화

Filter는 일반 쌩 자바 웹 서버에서도 지원되지만,

Spring Framework는

• Filter를 Bean으로 등록해서 사용할 수 있도록 합니다.(DelegatingFilterProxy)
• FilterChain을 Bean으로 등록해서 사용할 수 있도록 합니다.(FilterChainProxy)

빈으로 등록하는 게 왜 좋은데? (출처 : Chat GPT)

1. 스프링 IoC 컨테이너와 통합:
   • 필터도 스프링 IoC 컨테이너의 관리를 받게 되어 의존성 주입 등의 스프링 기능을 활용할 수 있습니다.
2. Lazy Loading 지원:
   • Proxy를 사용하면 필터 인스턴스가 실제로 필요할 때까지 생성되지 않습니다. 이를 통해 필터의 빈 생성 및 초기화를 지연시킬 수 있습니다.
     → 모든 빈이 로딩 된 다음에 필터를 로딩할 수 있어서, 필터에서 로딩 되지 않은 빈을 호출할 위험을 줄인다고 합니다.
3. 프로그래밍 방식의 필터 등록:
   • Java Config나 스프링 빈 설정 파일에서 필터를 등록할 수 있습니다. 이를 통해 필터의 등록과 관리를 코드로 처리할 수 있습니다.
4. 스프링 특징과의 통합:
   • 스프링의 다양한 기능과의 통합이 가능합니다. 예를 들어, 필터 내에서 스프링 빈에 접근하여 스프링 컨텍스트의 데이터를 활용할 수 있습니다.
5. 확장성 및 유지보수성:
   • 코드의 유지보수성이 향상됩니다. 필터의 수정이나 변경이 필요할 때 스프링 빈 설정 파일에서 직접 처리할 수 있으며, 필요한 경우 필터를 다른 빈으로 대체할 수 있습니다.

 

SecurityFilterChain을 추가할 것입니다.

SecurityFilterChaind을 추가함으로써 Spring Security를 적용해보겠습니다

더 궁금한 점이 있다면…

Architecture :: Spring Security

 

Spring Security에서 지원해주는 설정

• 모든 엔드포인트(Boot의 /error 엔드포인트 포함)에 대해 인증된 사용자를 요구합니다. (Authorize HttpServletRequests)
• 시작할 때 생성된 비밀번호를 사용하여 기본 사용자를 등록합니다 (UserDetailsService)
• BCrypt 및 기타 방법을 사용하여 비밀번호 저장을 보호합니다. (PasswordEncoder)
• 폼 기반 로그인 및 로그아웃 흐름을 제공합니다. (Form Login, Handling Logouts)
  기본값으로 인가되지 않은 사용자인 경우 /login으로 넘어가게 되어있으며, login form이 제공됨
• 폼 기반 로그인 및 HTTP 기본 인증을 인증합니다. (Basic Authentication)
• 내용 협상을 제공합니다; 웹 요청의 경우 로그인 페이지로 redirect하고, 서비스 요청의 경우 인증되지 않은 사용자에게는 401 Unauthorized을 반환하고, 인가되지 않은 사용자에게는 403 Forbidden을 반환합니다.(기본값)
• CSRF 공격을 완화합니다.(최대한 막으려고 한다의 완화)
  
  CSRF란?
  Cross Site Request Forgery의 약자로, 한글 뜻으로는 사이트간 요청 위조를 뜻합니다.사용자가 보안이 취약한 서비스에 로그인 했을 때 쿠키에 세션 아이디가 저장되면,해당 세션 아이디로 들어온 요청은 인증된 사용자의 요청인 줄 알고 처리되게 됨-> 악성 스크립트 페이지를 누르도록 유도하여 세션 아이디 탈취
• Session Fixation 공격을 완화합니다.
• HTTPS 보장을 위한 HTTP Strict Transport Security (HSTS)
• 스니핑 공격을 완화하기 위해 X-Content-Type-Options를 작성합니다.
• 인증된 리소스를 보호하기 위해 Cache Control headers를 작성합니다.
• 클릭재킹을 완화하기 위해 X-Frame-Options를 작성합니다.
• HttpServletRequest의 인증 메서드와 통합합니다.
• authentication success와 failure events를 발행합니다.

적용 및 구현은 아래에서 이어서 설명합니다.

[구현] Spring Security 6.1 이상 버전 적용, 설정하기