Spring Security 란?

🌱 Spring Security 주요 컴포넌트 확인

Spring Security 와 Filter

Spring Security는 요청이 들어오면 Servlet FilterChain을 자동으로 구성한 후 거치게 함
FilterChain은 여러 Filter를 chain형태로 묶어놓은 것
Filter → 톰캣과 같은 웹 컨테이너에서 관리되는 서블릿의 기술
Filter는 Client 요청이 전달되기 전후의 URL 패턴에 맞는 모든 요청에 필터링을 해줌
CSRF, XSS 등의 보안 검사를 통해 올바른 요청이 아닐 경우 이를 차단
Spring Security는 이런한 기능을 활용하기 위해 Filter를 사용하여 인증/인가를 구현하고 있다.

SecurityFilterChain

AbstractAuthenticationProcessingFilter

사용자의 credential을 인증하기 위한 베이스 Filter

UsernamePasswordAuthenticationFilter

AbstractAuthenticationProcessingFilter를 상속한 Filter
기본적으로 아래와 같은 Form Login 기반을 사용할 때 username 과 password 확인하여 인증
Form Login 기반은 인증이 필요한 URL 요청이 들어왔을 때 인증이 되지 않았다면 로그인페이지를 반환하는 형태

SecurityContextHolder

SecurityContextHolder : 스프링 시큐리티로 인증을 한 사용자의 상세 정보를 저장
SecurityContext : SecurityContextHolder 로 접근할 수 있으며, Authentication 객체 가짐

// 예시코드
SecurityContext context = SecurityContextHolder.createEmptyContext();
Authentication authentication = new UsernamePasswordAuthenticationToken(principal, credentials, authorities);
context.setAuthentication(authentication);

SecurityContextHolder.setContext(context);

Authentication

현재 인증된 사용자를 나타내며 SecurityContext 에서 가져올 수 있다.
principal : 사용자를 식별한다. Username/Password 방식으로 인증할 때 보통 UserDetails 인스턴스다.
credentials : 주로 비밀번호, 대부분 사용자 인증에 사용하고 다음 비운다.
authorities : 사용자에게 부여한 권한을 GrantedAuthority 로 추상화하여 사용한다.

<UserDetails>
        @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        UserRoleEnum role = user.getRole();
        String authority = role.getAuthority();
        System.out.println("authority = " + authority);

        SimpleGrantedAuthority simpleGrantedAuthority = new SimpleGrantedAuthority(authority);
        Collection<GrantedAuthority> authorities = new ArrayList<>();
        authorities.add(simpleGrantedAuthority);

        return authorities;
    }

Authentication authentication = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities());

UserDetailsService

UserDetailsService는 username/password 인증방식을 사용할 때 사용자를 조회하고 검증한 후 UserDetails를 반환한다. Custom하여 Bean으로 등록 후 사용 가능하다.

UserDetails

검증된 UserDetails는 UsernamePasswordAuthenticationToken 타입의 Authentication를 만들 때 사용되며 해당 인증객체는 SecurityContextHolder에 세팅된다.
Custom하여 사용가능하다.

비밀번호 암호화

회원 등록 시 '비밀번호'는 사용자가 입력한 문자 그대로 DB 에 등록하면 안됨
'정보통신망법, 개인정보보호법' 에 의해 비밀번호 암호화(Encryption)가 의무!

Spring Security 가 제공하는 적응형 단방향 함수인 bCrypt를 사용하여 비밀번호를 암호화

❗️적응형 단방향 함수는 내부적으로 리소스의 낭비가 매우 심하기 때문에 API 요청 마다 사용자의 이름과 비밀번호를 검증하면 애플리케이션 성능이 크게 떨어질 수 있다. 따라서 세션, 토큰 과 같은 인증방식을 사용하여 검증하는 것이 속도 및 보안 측면에 유리하다.

❗️우리가 앞으로 프로젝트에 적용할 사용자 검증 흐름 짚고 넘어가기!

사용자는 회원가입을 진행한다.
사용자의 정보를 저장할 때 비밀번호를 암호화하여 저장한다.
사용자는 로그인을 진행한다.
사용자가 입력한 정보를 통해 저장된 암호화된 비밀번호를 가져와 사용자가 입력한 암호와 비교한다.
사용자 인증이 성공하면 사용자의 정보를 사용하여 JWT 토큰을 생성하여 Header에 추가하여 반환하고 Client 는 이를 쿠키저장소에 저장한다.
사용자는 게시글 작성과 같은 요청을 진행할 때 발급받은 JWT 토큰을 같이 보내고 서버는 이를 빠르게 인증 하고 사용자의 요청을 수행한다.

양방향 ↔ 단방향

양방향 암호 알고리즘
- 암호화: 평문 → (암호화 알고리즘) → 암호문
- 복호화: 암호문 → (암호화 알고리즘) → 평문
단방향 암호 알고리즘
- 암호화: 평문 → (암호화 알고리즘) → 암호문
- 복호화: 불가 (~~암호문 → (암호화 알고리즘) → 평문)~~
❓그럼 사용자가 로그인할 때는 암호화된 패스워드를 기억해야 할까요?
- Password 확인절차
  1. 사용자가 로그인을 위해 "아이디, 패스워드 (평문)" 입력 → 서버에 로그인 요청
  2. 서버에서 패스워드 (평문) 을 암호화
    1. 평문 → (암호화 알고리즘) → 암호문
  3. DB 에 저장된 "아이디, 패스워드 (암호문)"와 일치 여부 확인

Password Matching

Spring Security 에서는 비밀번호를 암호화하는 함수를 제공할 뿐만 아니라 사용자가 입력한 비밀번호를 저장된 비밀번호와 비교하여 일치여부를 확인해주는 함수도 제공

// 사용예시
// 비밀번호 확인
if(!passwordEncoder.matches("사용자가 입력한 비밀번호", "저장된 비밀번호")) {
           throw new IllegalAccessError("비밀번호가 일치하지 않습니다.");
 }

boolean matches(CharSequence rawPassword, String encodedPassword);
- rawPassword : 사용자가 입력한 비밀번호
- encodedPassword : 암호화되어 DB 에 저장된 비밀번호

암호화 기능 추가 방법

// WebSecurityConfig
@Bean // 비밀번호 암호화 기능 등록
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

thals0 / TIL

[Spring] Spring Security #9