기술 노트

[Study] 스프링 시큐리티(Spring Security)

juble 2024. 9. 23. 22:31

🔐 스프링 시큐리티(Spring Security)란?

Spring Security

 Spring Security는 인증, 권한 관리 그리고 데이터 보호 기능을 포함하여 웹 개발 과정에서 필수적인 사용자 관리 기능을 구현하는데 도움을 주는 Spring의 강력한 프레임 워크이다.

 

 일반적으로 개발 시 가장 먼저 작업하는 부분이 사용자 관리 부분으로 회원가입부터 로그인, 로그아웃, 세션 관리, 권한 관리까지 플랫폼에 맞춰 다양하게 작업되는 인가 & 보안 기능은 개발자에게 많은 시간을 요구하는데. Spring 생태계 내에서 이러한 요구사항을 효과적으로 지원하기 위해 개발된 것이 Spring Security로 개발자들이 보안 관련 기능을 효율적이고 신속하게 구현할 수 있도록 도와준다.

 

Spring Security의 특징

  • 인증 및 권한 부여에 대한 포괄적이고 확장 가능한 지원
  • 세션 고정, 클릭재킹, 크로스 사이트 요청 위조 등과 같은 공격으로부터 보호
  • 서블릿 API 통합
  • Spring Web MVC와의 선택적 통합

🔐 Spring Security의 주요 구성 요소

💠 인증 (Authentication)

  • 사용자가 누구인지 확인하는 과정
  • 스프링 시큐리티는 다양한 인증 메커니즘을 제공하며, 가장 일반적인 방법은 폼 기반 로그인
  • 사용자는 아이디와 비밀번호를 입력하고, 스프링 시큐리티는 이 정보를 바탕으로 사용자의 인증을 처리한다.

💠권한 부여 (Authorization)

  • 권한 부여는 인증된 사용자가 어떤 자원에 접근할 수 있는지 결정하는 과정
  • 스프링 시큐리티는 선언적인 방식을 통해 URL 접근 제어, 메소드 접근 제어 등 다양한 권한 부여 방법을 제공한다.

💠 보안 필터 체인 (Security Filter Chain)

  • 보안 필터 체인은 HTTP 요청을 처리하기 전에 여러 보안 관련 작업을 수행하는 필터들의 집합
  • 이 필터들은 인증, 권한 부여, CSRF 보호 등 다양한 보안 기능을 수행한다.
 
 
시큐리티 필터 체인과 각각의 필터에서 사용하는 객체들(Repository, Handler, Manager 등)에 대해 표현한 그림
시큐리티 체인 필터를 더 단순하게 표현한 그림

위 기능들에 대한 자세한 설명은 다른 분이 잘 정리해준 내용이 있어서 링크만.. 올리겠다!(그래도 되겠지?)

https://velog.io/@dh1010a/SpringSecurity-%EC%8A%A4%ED%94%84%EB%A7%81%EC%8B%9C%ED%81%90%EB%A6%AC%ED%8B%B0%EC%9D%98-%EA%B8%B0%EB%B3%B8-%EA%B0%9C%EB%85%90%EA%B3%BC-%EA%B5%AC%EC%A1%B0

 

💠 보안 컨텍스트 (Security Context)

  • 보안 컨텍스트는 인증된 사용자의 정보와 권한 정보를 저장하는 곳
  • 스프링 시큐리티는 SecurityContextHolder를 통해 어플리케이션의 어느 곳에서나 현재 보안 컨텍스트에 접근할 수 있도록 한다.

 

이러한 구성 요소들은 스프링 시큐리티가 제공하는 강력한 보안 기능의 기반이 되며, 개발자는 이를 활용하여 웹 애플리케이션의 보안을 강화할 수 있다.


🔐 Spring Security의 동작 원리

스프링 시큐리티의 동작 원리를 이해하기 위해서는 먼저 서블릿 필터 기반의 구조를 알아야 한다. 스프링 시큐리티는 서블릿 필터를 사용하여 HTTP 요청을 가로채고, 보안 처리를 수행한다.

 

 
스프링 시큐리티 필터

 HTTP 요청이 들어오면, 딜리게이팅 필터 프록시(DelegatingFilterProxy)가 이를 가로채고, 필터 체인 프록시(FilterChainProxy)에게 요청을 위임한다. 필터 체인 프록시는 등록된 보안 필터 체인을 순차적으로 실행시키며, 각 필터는 인증, 권한 부여 등의 보안 작업을 수행한다.

 

 예를 들어, UsernamePasswordAuthenticationFilter는 사용자의 로그인 요청을 처리하고, 인증 객체를 생성하여 AuthenticationManager에게 전달한다. AuthenticationManager는 적절한 AuthenticationProvider를 찾아 인증 과정을 수행하고, 인증이 성공하면 SecurityContextHolder에 인증 객체를 저장한다.

 

 이 과정을 통해 스프링 시큐리티는 사용자의 인증 상태를 관리하고, 요청에 대한 접근 제어를 수행한다. 또한, 로그아웃 요청이 들어오면 LogoutFilter가 처리하며, 세션을 무효화하고 사용자를 로그아웃 상태로 만든다. 이처럼 스프링 시큐리티는 서블릿 필터와 보안 컨텍스트를 기반으로 동작하며, 웹 애플리케이션의 보안을 체계적으로 관리할 수 있다.

 


🔐 Spring Security의 커스터마이징과 확장

 스프링 시큐리티는 개발자가 보안 요구사항에 맞춰 커스터마이징하고 확장할 수 있도록 설계되었다. 이는 스프링 시큐리티의 구성 요소를 재정의하거나 추가하여 구현할 수 있음을 의미한다.

 

 예를 들어, 사용자 정의 인증 로직을 구현하기 위해 AuthenticationProvider를 커스터마이징할 수 있다. 또한, 특정 URL에 대한 접근 제어 로직을 변경하기 위해 WebSecurityConfigurerAdapter를 상속받아 configure 메소드를 오버라이드할 수 있다. 또한, JWT 토큰 기반 인증, OAuth2 인증 등 다양한 인증 방식을 스프링 시큐리티와 통합하여 사용할 수 있다. 이를 위해 필터 체인에 사용자 정의 필터를 추가하거나, 기존의 필터를 대체하는 방식으로 구현할 수 있다.

 

 이와 같이 스프링 시큐리티는 개발자가 애플리케이션의 보안 요구사항에 맞춰 유연하게 보안 설정을 커스터마이징하고 확장할 수 있는 강력한 기능을 제공한다. 따라서 스프링 시큐리티는 단순한 보안 프레임워크를 넘어서, 개발자가 웹 애플리케이션의 보안을 효과적으로 관리하고 강화할 수 있는 중요한 도구이다.

 


🔐 결론

 스프링 시큐리티는 스프링 기반의 웹 애플리케이션에서 보안을 강화하는 데 필수적인 프레임워크이다. 인증, 권한 부여, 보안 필터 체인, 보안 컨텍스트 등의 구성 요소를 통해 강력한 보안 기능을 제공한다. 또한, 스프링 시큐리티는 커스터마이징과 확장이 용이하여, 개발자는 애플리케이션의 특정 보안 요구사항에 맞춰 보안 설정을 유연하게 조정할 수 있다.

 

 이러한 스프링 시큐리티의 이해와 적절한 적용은 웹 애플리케이션의 보안을 강화하고, 보안 관련 위협으로부터 애플리케이션을 보호하는 데 중요한 역할을 한다. 따라서 스프링 기반의 웹 애플리케이션을 개발할 때 스프링 시큐리티의 적용을 고려해야 하며, 이를 통해 보안 강화 및 관리에 대한 효과적인 해결책을 제공받을 수 있다. 왜냐하면 스프링 시큐리티는 보안 관련 베스트 프랙티스를 기반으로 하며, 지속적으로 업데이트되어 최신 보안 위협에 대응할 수 있기 때문이다.

 

 마치며 아직은 내가 직접 사용해본 것이 아니기때문에 해 봐야 알 것 같지만, 이걸 몰랐을 때는 막막했을 것 같은데 이런 기능이 있다니 조금은 막막함이 덜어지는 것 같다. 그리고 찾다보니 이와 관련된 강의가 있어서 나중에 시간이 되면 들어보면 좋을 것 같다는 생각을 했다. 그와 관련된 내용은 마지막 하단 링크 ..

 

참고하면 좋을 것 같은 강의의 정리 내용 블로그 - https://lelecoder.com/140

 

Spring Security 인프런 강의 정리

백기선님이 강의하신 인프런 스프링 시큐리티 강좌를 학습하고 정리한 내용입니다. 소스코드는 Github를 참고해주세요. Prerequisites Installing MySQL 5.7 Account Info Normal User : user / 123 Admin User : admin / !@#

lelecoder.com

 


https://blog.naver.com/ju_ble/223459226432

네이버 블로그에 2024. 5. 26. 22:37 작성했던 글을 티스토리에 보기 편하게 옮김 !

 

[Study] 스프링 시큐리티(Spring Security)

🔐 스프링 시큐리티(Spring Security)란? Spring Security는 인증, 권한 관리 그리고 데이터 보호 기...

blog.naver.com

 

 

 

728x90
반응형