일 | 월 | 화 | 수 | 목 | 금 | 토 |
---|---|---|---|---|---|---|
1 | 2 | 3 | 4 | 5 | 6 | 7 |
8 | 9 | 10 | 11 | 12 | 13 | 14 |
15 | 16 | 17 | 18 | 19 | 20 | 21 |
22 | 23 | 24 | 25 | 26 | 27 | 28 |
29 | 30 |
- ㅂ
- 스프링시큐리티
- securityconfig
- HttpSecurity
- ㅇㅇㅇㄴㅇ
- Spring Security
- Session1이 그 모든 클라이언트의 저올
- 스프링 #스프링 시큐리티 #spring security
- WebConfigurerAdapter
- WebSecurity
- Today
- Total
다오의 개발일지
스프링 시큐리티 인증 및 인가 spring security 본문
스프링 시큐리티
스프링 시큐리티는 자바 및 자바 EE 기반의 웹 애플리케이션을 위한 보안 프레임워크로, 주로 인증과 권한 부여 등의 보안 관련 기능을 제공한다. 개발 과정에서 보안은 많은 시간을 필요로 하는 부분 중 하나인데, 스프링 시큐리티를 사용하면 이미 잘 짜여진 로직을 통해 이러한 작업을 보다 쉽고 빠르게 처리할 수 있다.
스프링 시큐리티의 인증(Authentication) , 인가(Authorization)[권한부여]
인증 : 사용자가 자신이 주장하는 사람임을 증명하는 과정
인가(권한 부여) : 인증된 사용자가 특정 자원에 접근할 수 있는지를 결정하는 과정
인증 방식
보통 인증 방식에는 세가지가 있다.
1. credential 방식: username, password를 이용하는 방식
2. 이중 인증(two factor 인증): 사용자가 입력한 개인 정보를 인증 후, 다른 인증 체계(예: 물리적인 카드)를 이용하여 두가지의 조합으로 인증하는 방식이다.
3. 하드웨어 인증: 자동차 키와 같은 방식
이 중 스프링 시큐리티는 credential 방식을 취하며, 사용자의 아이디를 'principal', 비밀번호를 'credential'로 처리한다.
스프링 시큐리티의 특징
스프링 시큐리티의 주요 특징 중 하나는 필터 기반으로 동작하며, 스프링 MVC와는 독립적으로 관리되고 동작할 수 있다는 점이다. 설정은 주로 자바 빈으로 이루어지며, 3.2 버전부터는 XML 설정 없이도 충분히 구성할 수 있다.
스프링 시큐리티의 인증흐름
스프링 시큐리티의 흐름도이다 각 단계를 설명하면,
1. Http Request 수신
사용자가 로그인 정보와 함께 인증 요청을 한다.
2. 유저 자격을 기반으로 인증토큰 생성
AuthenticationFilter는 이 요청을 가로채 사용자가 입력한 정보(아이디와 비밀번호)를 기반으로 UsernamePasswordAuthenticationToken을 생성한다. 이 토큰은 인증 과정에서 사용자의 신원을 나타내며 아직 인증이 완료된 상태는 아니다.
3. 다시 AuthenticationFIlter를 통해 UsernamePasswordAuthenticationToken을 AuthenticationManager로 전달
생성된 UsernamePasswordAuthenticationToken은 인증 처리를 담당하는 AuthenticationManager로 전달됩니다. 여기서
UsernamePasswordToken 객체는 AuthenticationManager의 구현체인 "ProviderManager" 로 전달한다.
AuthenticationManager는 인증 과정을 AuthenticationProvider들에게 위임하는 역할을 한다.
4. AuthenticationProvider의 목록으로 인증을 시도
AuthenticationManager는 등록된 여러개의 AuthenticationProvider 들을 순회하면서 인증을 시도한다.
각 AuthenticationProvider는 특정 타입의 인증 토큰을 처리할 수 있으며,
UsernamePasswordAuthenticationToken을 처리할 수 있는 프로바이더가 인증 과정을 수행합니다.
5. 사용자 정보 조회
AuthenticationProvider는 UserDetailsService를 사용하는데,
프로바이더가 사용하는UserDetailsService는 구현된 UserDetails (여기선 User객체)를 반환한다. UserDetails(User)에는 사용자의 인증 정보(아이디, 비밀번호, 권한 등)를 가지고 있다.
이를 통해 사용자가 제출한 로그인 정보와 비교한다.
7. Authentication 객체(UsernamePasswordAuthenticationToken) or AuthenticationException
사용자 정보가 올바르게 일치한다면, AuthenticationProvider는 권한 정보를 포함한 Authentication 객체를 생성하여 인증 과정을 마무리한다. 그리고 AuthenticationFilter로 Authentication객체를 가지고 되돌아간다.
만약 정보가 일치하지 않는다면 AuthenticationException이 발생한다.
8. SecurityContext에 Authentication 객체를 설정
AuthenticationFilter는 SecurityContextHolder에 저장되어 있는 SecurityContext에 Authentication객체를 저장한다.
이 과정을 통해 애플리케이션의 다른 부분에서 현재 인증된 사용자의 정보에 접근할 수 있게 된다.
사용자 정보를 저장한다는 것은 스프링 시큐리티가 전통적인 세션-쿠키 기반의 인증 방식을 사용한다는 것을 의미한다.
SecurityContextHolder, SecurityContext, Authentication
1) SecurityContextHolder, SecurityContext, Authentication
각 컴포넌트의 관계를 간단히 표현하자면 다음과 같다.
1. 유저의 아이디와 패스워드 사용자 정보를 넣고 실제 가입된 사용자인지 체크한 후 인증에 성공하면 우리는 사용자의 principal과 credential정보를 Authentication안에 담는다.
2. 스프링 시큐리티에서 방금 담은 Authentication을 SecurityContext에 보관한다. 이 SecurityContext를 SecurityContextHolder에 담아 보관하게 되는 것이다.
Authentication 인터페이스 내부 코드
public interface Authentication extends Principal, Serializable {
Collection<? extends GrantedAuthority> getAuthorities();
Object getCredentials();
Object getDetails();
Object getPrincipal();
boolean isAuthenticated();
void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException;
}
우리가 로그인한 사용자의 정보를 얻기 위해서는
SecurityContextHolder.getContext().getAuthentication().getPrincipal(); 인데, 지금까지의 글이 이해가 되었다면, 이 메서드호출 흐름을 이해할 수 있다.
AuthenticationFilter는 SecurityContextHolder를 이용해 SecuritryContext를 호출한다. 여기에는 Authentication 객체가 담겨있고, 이 안에 인증정보가 들어있다.
principal: 아이디 (username)
credential: 비밀번호 (password
즉 로그인한 사용자의 아이디는 getPrincipal()로 호출하여 알 수 있다.
UsernamePasswordAuthenticationToken의 역할
스프링 시큐리티에서 인증 과정은 여러 단계를 거치는데, 이 중에서 사용자가 제출한 아이디(Principal)와 비밀번호(Credentials)를 담아 처리하는 역할을 하는 것이 UsernamePasswordAuthenticationToken이다.
public abstract class AbstractAuthenticationToken implements Authentication, CredentialsContainer {
}
public class UsernamePasswordAuthenticationToken extends AbstractAuthenticationToken {
private static final long serialVersionUID = SpringSecurityCoreVersion.SERIAL_VERSION_UID;
private final Object principal;
private Object credentials;
// 인증 완료 전의 객체 생성
public UsernamePasswordAuthenticationToken(Object principal, Object credentials) {
super(null);
this.principal = principal;
this.credentials = credentials;
setAuthenticated(false);
}
// 인증 완료 후의 객체 생성
public UsernamePasswordAuthenticationToken(Object principal, Object credentials,
Collection<? extends GrantedAuthority> authorities) {
super(authorities);
this.principal = principal;
this.credentials = credentials;
super.setAuthenticated(true); // must use super, as we override
}
생성자와 사용 방법
인증 전 객체 생성 : 사용자가 로그인을 시도할 때, 그들의 아이디와 비밀번호를 이용하여 UsernamePasswordAuthenticationToken 객체를 처음 생성한다. 이때, 인증은 아직 이루어지지 않은 상태다.
UsernamePasswordAuthenticationToken authenticationToken =
new UsernamePasswordAuthenticationToken(username, password);
인증 완료된 객체 생성 : 사용자의 아이디와 비밀번호가 검증되고, 사용자에 대한 추가 정보(예: 권한)가 로드되면, 시스템은 인증이 완료된 UsernamePasswordAuthenticationToken 객체를 새로 생성한다. 이 객체는 사용자의 권한과 같은 추가적인 정보를 포함할 수 있으며, 이제 사용자는 시스템 내에서 인증된 것으로 간주된다.
UsernamePasswordAuthenticationToken authenticationToken =
new UsernamePasswordAuthenticationToken(user, null, userAuthorities);
여기서 user는 UserDetails에서 로드된 사용자 정보를 나타내고, userAuthorities는 사용자에게 부여된 권한 목록이다. 두 번째 인자인 null은 비밀번호가 이미 검증되었기 때문에 더 이상 필요하지 않다는 것을 의미한다.
AuthenticationManager
인증에 대한 부분은 이 클래스를 통해서 처리가 된다. 실질적으로는 AuthenticationManager에 등록된 AuthenticationProvider에 의해서 처리가 된다.
public interface AuthenticationManager {
Authentication authenticate(Authentication authentication) throws AuthenticationException;
}
AuthenticationProvider
이 클래스는 실제 인증에 대한 부분을 처리하는 작업을 치룬다. 인증 전에 Authentication 객체를 받아 인증이 완료된 객체를 반환하는 역할을 하고 아래와 같은 인터페이스를 구현해 Custom한 AuthenticationProvider를 작성하고 AuthenticationManger에 등록하면 된다.
public interface AuthenticationProvider {
Authentication authenticate(Authentication authentication) throws AuthenticationException;
boolean supports(Class<?> authentication);
ProviderManager
AuthenticationManager를 구현한 ProviderManager은 AuthenticationProvider를 구성하는 목록을 갖는다.
public class ProviderManager implements AuthenticationManager, MessageSourceAware, InitializingBean {
public List<AuthenticationProvider> getProviders() {
return this.providers;
}
public Authentication authenticate(Authentication authentication) throws AuthenticationException {
Class<? extends Authentication> toTest = authentication.getClass();
AuthenticationException lastException = null;
AuthenticationException parentException = null;
Authentication result = null;
Authentication parentResult = null;
int currentPosition = 0;
int size = this.providers.size();
// for문으로 모든 provider를 순회하여 처리하고 result가 나올때까지 반복한다.
for (AuthenticationProvider provider : getProviders()) { ... }
}
}
UserDetailsService
이 클래스는 UserDetails 객체를 반환하는 하나의 메서드만을 가지고 있는데, 일반적으로 이를 구현한 클래스에서 UserRepository를 주입받아 DB와 연결하여 처리한다.
public interface UserDetailsService {
UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;
}
UserDetails
인증에 성공하여 생성된 UserDetails클래스는 Authentication 객체를 구현한 UsernamePasswordAuthenticationToken을 생성하기 위해 사용한다. UserDetails를 구현하여 처리할 수 있다.
public interface UserDetails extends Serializable {
Collection<? extends GrantedAuthority> getAuthorities();
String getPassword();
String getUsername();
boolean isAccountNonExpired();
boolean isAccountNonLocked();
boolean isCredentialsNonExpired();
boolean isEnabled();
}
SecurityContextHolder
SecurityContextHolder는 보안 주체의 세부 정보를 포함하여 응용 프로그램의 현재 보안 컨텍스트에 대한 세부 정보가 저장된다.
SecurityContext
Authentication을 보관하는 역할을 하며, SecurityContext를 통해 Authentication을 저장하거나 꺼내올 수 있다.
SecurityContextHolder.getContext().set or get Authentication(authenticationObject);
GrantedAuthority
GrantedAuthority는 현재 사용자가 가지고 있는 권한을 의미하며 ROLE_ADMIN, ROLE_USER와 같이 사용한다. GrantedAuthority객체는 UserDetailsService에 의해 불러올 수 있고,
특정 자원에 대한 권한이 있는지 없는지를 검사해 접근 허용 여부를 결정한다.
궁금증이 생겼다. 인증 객체는 Authentication이고 이를 컨텍스트안에 저장하고 완료하는데, UsernamePasswordAuthenticationToken을 또 생성하는 이유에 대해,
- Authentication을 객체로 알고 있었는데, 인터페이스였고
이를 구현한 하나의 구현체UsernamePasswordAuthenticationToken 임을 알게됐다.
시큐리티의 인증 및 인가 부분에 대해 이해하기가 쉽지 않아서, 좀 더 구체적으로 풀어서 정리하기 위해 글을 작성했다. 뜨문뜨문 개념을 알고 있었는데, 확실히 정리가 된 것 같다. 또한 시큐리티에는 여러가지 필터들이 있다는 걸 알고 각각의 특징들도 살펴봐야겠다.
인증 및 인가 외에 전체적으로 볼 수 있게끔 잘 정리되어있는 블로그를 찾았다.
https://velog.io/@jkijki12/Spring-Security-%EC%95%84%EB%8A%94%EC%B2%99%ED%95%98%EA%B8%B0
Spring Security 아는척하기
Security... 멈춰!!
velog.io
위 블로그에서 Config class를 작성할때 WebSecurityConfigurerAdapter를 상속받는데, 이를 시큐리티 5.7버전 이후로는 사용을 하지 않고 SecurityFilterChain 빈을 등록해서 사용하는 것 같다. 아래 참조
https://spring.io/blog/2022/02/21/spring-security-without-the-websecurityconfigureradapter
Spring Security without the WebSecurityConfigurerAdapter
In Spring Security 5.7.0-M2 we deprecated the WebSecurityConfigurerAdapter, as we encourage users to move towards a component-based security configuration. To assist with the transition to this new style of configuration, we have compiled a list of common
spring.io
'Spring > Spring Security' 카테고리의 다른 글
스프링 시큐리티를 활용한 OAuth2 인증과정 (0) | 2024.03.09 |
---|---|
스프링 시큐리티 설정 파일 내부 구성 ver.5.7 이후, WebConfigurerAdapter 사용 안됨 문제 (0) | 2024.03.08 |