Spring Security

출처 : 내일배움캠프

 

스프링 시큐리티 적용방법

// 스프링 시큐리티
implementation 'org.springframework.boot:spring-boot-starter-security'

Config 패키지에 WebSecurityConfig 클래스 생성

//스프링 부트 2.7 이상
package com.sparta.springsecurity.config;


import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.web.SecurityFilterChain;

@Configuration
@EnableWebSecurity // 스프링 Security 지원을 가능하게 함
public class WebSecurityConfig {

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        // CSRF 설정
        http.csrf().disable();
        
        http.authorizeRequests().anyRequest().authenticated();

        // 로그인 사용
        http.formLogin();
        
        return http.build();
    }

}

CSRF : 사이트 간 요청 위조, 공격자가 인증된 브라우저에 저장된 쿠키에 세션정보를 활용하여 웹 서버에 사용자가 의도하지 않은 요청을 전달하는 것

CSRF 설정을 해둔 경우 CSRF 토큰이 있는 경우에만 html로 요청을 보낼 수 있다.

쿠키 기반의 취약점을 이용한 공격이기 때문에 REST방식의 API에서는 예방할 수 있다.

 

Spring Security의 주요 컴포넌트

1) Filter

요청이 들어올 경우 ServletFilterChain을 자동 구성한 후 요청을 ~Chain에서 검사하게 한다 ~ FilterChain이란 여러 Filter의 묶음.

Filter란, 톰캣과 같은 웹 컨테이너에서 관리되는 서블릿의 기술이다. Filter는 클라이언트의 요청이 전달되기 전 후의 URL 패턴에 맞는 모든 요청에 필터링을 해준다. -> CSRF, XSS 등의 보안 검사를 통해 올바른 요청이 아닐 경우, 그 요청을 차단한다. == Spring Security는 Filter를 사용하여 인증/인가를 구현하고 있다.

2) 기본 Filter : AbstractAuthenticationProcessingFilter -> 사용자의 credential을 인증

- FIlterChain에서 DelegatingFilterProxy : 다른 beanFilter에게 

 

3) UsernamePasswordAuthenticationFilter

기본 Filter를 상속

Form 형식 Login을 사용할 때 username과 password를 확인하여 인증

-> 인증에 실패한다면 기본 로그인 페이지를 반환한다

Chain에서 요청과 함께 들어온 정보가 맞는지 확인

Filter결과에 따른 진행

-> UsernamePasswordAuthenticationFilter를 통해 인증목적의 UsenamePasswordAuthenticationToken을 생성하고,

인증 과정을 AuthenticaionManager를 구현한 객체에 위임

4) SecrityContextHolder : 인증을 시도한 사용자의 정보를 저장한다.

~ SecruityContext는 Authentication 객체를 가지고 있다.

// 예시코드
SecurityContext context = SecurityContextHolder.createEmptyContext();
Authentication authentication = new UsernamePasswordAuthenticationToken(principal, credentials, authorities);
context.setAuthentication(authentication);

SecurityContextHolder.setContext(context);

5) Authentication : 현재 인증된 사용자를 나타내며 SecurityContext에서 가져올 수 있고 다음 3가지의 정보(필드, 인스턴스)를 가진다.

Principal : 사용자를 식별한다. Username/ Password 방식으로 인증할 때 보통 UserDetails 인스턴스를 가지고 있다.

Credential : 주로 비밀번호, 대부분 사용자 인증에 사용한 다음 비어있는 상태로 비운다.

Authorities : 사용자에게 부여한 권한을 GrantedAuthority로 추상화하여 사용한다.

<UserDetails>
@Override
public Collection<? extends GrantedAuthority> getAuthorities() {
UserRoleEnum role = user.getRole();
    String authority = role.getAuthority();
    System.out.println("authority = " + authority);

    SimpleGrantedAuthority simpleGrantedAuthority = new SimpleGrantedAuthority(authority);
    Collection<GrantedAuthority> authorities = new ArrayList<>();
    authorities.add(simpleGrantedAuthority);

    return authorities;
}

Authentication authentication = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());

UsernamePasswordAuthenticationToken은 Authenticaion을 implements한 AbstractAuthenticationToken의 하위 클래스로, 인증 객체를 만드는 데 사용된다.

UserDetailService는 username/password 인증방식을 사용할 때 사용자를 조회하고 검증한 후 UserDetails를 반환한다.

Custom하여 빈으로 사용 가능하다. ->

UserDetailService에서 반환한, 검증된 UserDetails는

UsernamePasswordAuthenticationToken 타입의 Authenticaion을 만드는데 사용되며 그 인증 객체는 SecurityContextHoleder에 저장된다. Custom하여 사용 가능하다. 

 

WebSecurityConfig

// 스프링 부트 2.7.6으로 설정할 것 : 3.0.1에서는 작동하지 않는 코드
package com.sparta.springsecurity.config;


import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.web.SecurityFilterChain;

@Configuration
@EnableWebSecurity // 스프링 Security 지원을 가능하게 함
public class WebSecurityConfig {

		@Bean
    public WebSecurityCustomizer webSecurityCustomizer() {
        // h2-console 사용 및 resources 접근 허용 설정
        return (web) -> web.ignoring()
                .requestMatchers(PathRequest.toH2Console())
                .requestMatchers(PathRequest.toStaticResources().atCommonLocations());
    }

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        // CSRF 설정
        http.csrf().disable();
        
				http.authorizeRequests()
                .antMatchers("/h2-console/**").permitAll()
                .antMatchers("/css/**").permitAll()
                .antMatchers("/js/**").permitAll()
                .antMatchers("/images/**").permitAll()
                .requestMatchers(PathRequest.toStaticResources().atCommonLocations()).permitAll()
                .anyRequest().authenticated();

        // 로그인 사용
        http.formLogin();
        
        return http.build();
    }

}

* 스프링 시큐리티의 인증 : Session방식을 사용

 

UserService 안에서 loadUserByUsername 메서드를 호출한 값을 UserDetails 타입의 객체를 생성한 뒤 할당한다.
UserDetails userDetails = userDetailsService.loadUserByUsername(username);
그 객체의 인스턴스를 활용하여 Authentication 타입의 객체를 생성한다.
Authentication authentication = new UsernamePasswordAuthenticationToken(userDetails, userDetails.getPassword(), userDetails.getAuthorities());

 

Custom 로그인 페이지를 사용하기로 스프링에 통지하면, 스프링은 디폴트 비밀번호를 생성하지
않고, 기존의 UserDetails, UserDetailsService를 사용한 인증 또한 진행하지 않는다.

-> DB에 회원가입에 성공한 User 정보를 저장 및 로그인 할때 User 객체를 호출하여 UserDetails 정보를 만들고, UserDetails 정보를 활용한 필터를 사용해 사용자 인증 과정을 거치는 기능을 직접 구현해야 한다.

 

비밀번호는 입력 값 그대로 DB에 저장되어선 안된다. ~

암호화를 거쳐 DB에 저장해야 해커가 DB를 털어도 계정 정보를 모두 획득할 수 없기 때문에

 

적응형 단방향 함수로 비밀번호를 저장하는 것이 추세 : 스프링도 사용하는 함수

-> 양방향 암호 알고리즘 & 단방향 암호 알고리즘

// 사용예시
// 비밀번호 확인
if(!passwordEncoder.matches("사용자가 입력한 비밀번호", "저장된 비밀번호")) {
		   throw new IllegalAccessError("비밀번호가 일치하지 않습니다.");
 }

• boolean matches(CharSequence rawPassword, String encodedPassword);
  • rawPassword : 사용자가 입력한 비밀번호
  • encodedPassword : 암호화되어 DB 에 저장된 비밀번호

1. 사용자는 회원가입을 진행

2. 사용자의 정보를 저장할 때 비밀번호를 암호화하여 저장

3. 사용자는 로그인을 진행

4. 사용자가 입력한 정보를 통해 저장된 암호화된 비밀번호를 가져와 사용자가 입력한 암호와 비교

5. 사용자 인증이 성공하면 사용자의 정보를 사용하여 JWT 토큰을 생성하여 Header에 추가하여 반환하고 사용자는 이를 쿠키저장소에 저장

6. 사용자는 게시글 작성과 같은 요청을 진행할 때 발급받은 JWT 토큰을 같이 보내고 서버는 이를 빠르게 인증 하고 사용자의 요청을 수행

 

+ Custom Filter 추가

// Custom Filter 등록하기
http.addFilterBefore(new CustomSecurityFilter(userDetailsService, passwordEncoder()), UsernamePasswordAuthenticationFilter.class);
// 객체 파라미터 순서대로 : principal, credentials, authorities

+ 로그인 Post 메서드 : UserController + @AuthenticationPrincipal : 인증 객체의 principal 인스턴스의 값을 가져온다.

 

@Secured

: 권한 설정 방법

-> 컨트롤러에 해당 메서드 위에 어노테이션 표시

// (관리자용) 등록된 모든 상품 목록 조회
// MySelectShop 예시
    @Secured("ROLE_ADMIN")
    @GetMapping("/api/admin/products")
    public List<Product> getAllProducts() {
        return productService.getAllProducts();
    }

접근 제한 페이지 설정

1) TestController 생성

2) UserController에 "/forbidden" Post 메서드 생성

3) WebSecurityConfig

// 접근 제한 페이지 이동 설정
http.exceptionHandling().accessDeniedPage("/api/user/forbidden");

4) TestApi에 @Secured로 권한 설정

 

401, 403 Error ExceptionHandling

1) SecurityExceptionDto 생성 : 오류 발생시 코드와 메세지를 커스텀하여 사용하겠다.

2) CustomAccessDeniedHandler 생성

3) CustomAuthenticationEntryPoint 생성

4) WebSecurityConfig

// 접근 제한 페이지 이동 설정
// http.exceptionHandling().accessDeniedPage("/api/user/forbidden");        
		
// 401 Error 처리, Authorization 즉, 인증과정에서 실패할 시 처리
http.exceptionHandling().authenticationEntryPoint(customAuthenticationEntryPoint);

// 403 Error 처리, 인증과는 별개로 추가적인 권한이 충족되지 않는 경우
http.exceptionHandling().accessDeniedHandler(customAccessDeniedHandler);

403 (Forbidden) 클라이언트 오류 상태. 서버에 요청이 전달되었지만, 권한 때문에 거절됨.