[Spring] Spring Security를 통한 Authentication(인증) & Authorization(권한 부여)

 💡 스프링에서 인증과 권한 부여로 리소스 사용을 컨트롤할 수 있는 Spring Security 프레임워크에 대해 알아보자!

     Notion 에서 보기

 

---

📌 요약

• Spring Security 의 핵심은 인증과 인가

---

📍 Spring Security 에서 인증과 인가

 

• 다른 게시글에서 정리한 인증과 인가에 대해 예시를 들어 짧게 짚고 넘어가자.
• 은행의 금고가 있고, 사용자가 금고를 열어본다고 가정할 때의 과정은 아래와 같다.
  1. 사용자는 은행에 가서 자신이 어떤 사람인지 신분증으로 자신을 증명한다.
  2. 은행에서 사용자의 신분을 확인한다.
  3. 은행에서 사용자가 금고를 열어 볼 수 있는 사람인지를 판단한다.
  4. 만일 적절한 권리나 권한이 있는 경우 사용자의 금고를 열어준다.

 

👌🏻 인증(Authentication)

• 해당 사용자가 본인이 맞는지 확인하는 절차
• 위의 과정에서 1번에 해당

 

🙆🏻‍♀️ 인가(Authorization)

• 인증된 사용자가 요청한 자원에 접근이 가능한지를 결정하는 절차
• 위의 과정에서 3번에 해당
• Spring Security 는 기본적으로 인증 절차를 거친 후 → 인가 절차를 진행 하게되며,
• 인가 과정에서 해당 리소스에 대한 접근 권한이 있는지를 확인하게 된다.
• 이러한 인증과 인가를 Principal 을 아이디로 - Credential 을 비밀번호로 사용하는 Credential 기반의 인증 방식 을 사용한다.
  • Principal(접근 주체) : 보호 받는 리소스에 접근하는 대상
  • Credential(비밀번호) : 리소스에 접근하는 대상의 비밀번호

---

📂 Spring Security 주요 모듈

 

SecurityContextHolder

• SecurityContextHolder 는 보안 주체의 세부 정보를 포함하여, 응용 프로그램의 현재 보안 컨텍스트에 대한 세부 정보가 저장된다.

 

SecurityContext

• SecurityContext 는 Authentication 을 보관하는 역할을 하며, SecurityContext 를 통해 Authentication 객체를 꺼내올 수 있다.

 

Authentication

• Authentication 은 현재 접근하는 주체의 정보와 권한을 담는 인터페이스이다.
• SecurityContext 에 저장되며, SecurityContextHolder 를 통해 SecurityContext에 접근하고 → SecurityContext를 통해 Authentication 에 접근할 수 있다.

public interface Authentication extends Principal, Serializable {
	//현재 사용자의 권한 목록을 가져옴
	Collection<? extends GrantedAuthority> getAuthorities();
	//credentials(주로 비밀번호)를 가져옴 
	Object getCredentials();
	
	Object getDetails();
	//Principal 객체를 가져옴
	Object getPrincipal();
	//인증 여부를 가져옴
	boolean isAuthenticated();
	//인증 여부를 설정함
	void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException;
}

 

UsernamePasswordAuthenticationToken

• Authentication 을 구현한 AbstractAuthenticationToken 의 하위 클래스이다.
  • username : Pricipal의 역할
  • password : Credential의 역할을 한다.
• 첫 번째 생성자는 - 인증 전의 객체를 생성하고,
• 두 번째 생성자는 - 인증이 완료된 객체를 생성해준다.

public class UsernamePasswordAuthenticationToken extends AbstractAuthenticationToken {

	private static final long serialVersionUID = SpringSecurityCoreVersion.SERIAL_VERSION_UID;
	//주로 사용자 ID에 해당함
	private final Object principal;
	//주로 사용자 PW에 해당함
	private Object credentials;
	//인증 완료 전의 객체 생성
	public UsernamePasswordAuthenticationToken(Object principal, Object credentials) {
		super(null);
		this.principal = principal;
		this.credentials = credentials;
		setAuthenticated(false);
	}
	//인증 완료 후의 객체 생성
	public UsernamePasswordAuthenticationToken(Object principal, Object credentials,
			Collection<? extends GrantedAuthority> authorities) {
		super(authorities);
		this.principal = principal;
		this.credentials = credentials;
		super.setAuthenticated(true); // must use super, as we override
	}
}

public abstract class AbstractAuthenticationToken implements Authentication, CredentialsContainer { }

---

🔐 Spring Security란?

 

📝 Spring Security의 개념

• Spring Security 는 Spring 어플리케이션의 보안(인증과 권한 부여)을 담당하는 스프링의 하위 프레임워크이다.
• Spring Security는 스프링의 DispatcherServlet 앞단에 Filter 형태로 위치한다.
• Dispatcher로 넘어가기 전에, 이 Filter가 요청을 가로채서 → 클라이언트의 리소스 접근 권한을 확인하고 → 없는 경우에는, 인증 요청 화면으로 자동 리다이렉트한다.

 

❓Spring Security의 필요성

• API에 대한 권한 기능이 없으면, 아무나 회원 정보를 조회하고 수정 및 삭제할 수 있다.
• 따라서, 이를 막기 위해 인증된 유저만 API를 사용할 수 있도록 해야하며, 인증 및 권한 부여를 통해 리소스 사용을 컨트롤 할 수 있도록 하는 것을 Spring Security가 제공한다.
  • 이러한 인증 및 권한 관릴 위한 Java 프레임워크에는 JAAS, Spring Security, Apache Shiro 등이 있다.
  • 그렇다면 이들에 비해 왜?! Spring Security가 많이 사용되는 것일까?!
• Spring Security를 사용하면, 보안 처리를 자체적으로 구현하지 않아도 쉽게 필요한 기능을 구현할 수 있다.

 

🎞️ Spring Security의 동작 과정

 

 

 

   1. 사용자 인증 요청 - HTTP 요청 수신(Http Request) 및 AuthenticationFilter 통과

 

• Spring Security는 일련의 필터들을 가지고 있다.
• 요청(Request)는 인증(Authentication)과 권한 부여(Authorization)을 위해 이 필터들을 통과하게 된다.
• 이 필터를 통과하는 과정은, 해당 요청과 관련된 인증 필터를 찾을 때까지 지속된다.
  • 요청과 관련된 인증 필터 : 인증 메커니즘/모델에 기반한 관련 필터
• 필터 통과 예시
  • HTTP Basic 인증 요청은, BasicAuthenticationFilter 에 도달할 때까지 필터 체인을 통과한다.
  • HTTP Digest 인증 요청은 DigestAuthenticationFilter 에 도달할 때까지 필터 체인을 통과한다.
  • 로그인 form submit 요청은 UsernamePasswordAuthenticationFilter 에 도달할 때까지 필터 체인을 통과한다.
  • X509 인증 요청은 X509AuthenticationFilter 등에 도달할 때까지 필터 체인을 통과한다.
• 필터 체인 중 인증을 담당하는 필터를 AuthenticationFilter 라고 한다.
  • AuthenticationFilter 는 사용자의 세션 ID(JSESSIONID)가 Security Context 에 있는지 확인한다.
    • 여기서, Security Context 란, 아래의 모든 로직을 통과한 인증된 사용자의 정보(인증 개체)를 저장하는 공간이다.
  • Security Context에 세션 ID가 없다면, 아래 로직을 수행한다.

 

   2. 사용자 자격 증명(ID, PW)을 기반으로 AuthenticationToken 생성

 

• 인증 요청(Request)이 관련 AuthenticationFilter 에 의해 수신되면, 수신된 요청에서 사용자 이름 & 비밀번호 를 추출한다.
• 추출된 자격 증명(credentials)을 기반으로, 인증 개체를 만들게 되는데, 이를 UsernamePasswordAuthenticationToken 이라고 한다.

 

   3. 인증을 위해 AuthenticationManager에 생성된 AuthenticationToken 위임

 

• 만들어진 UsernamePasswordAuthenticationToken 은 AuthenticationManager 의 인증 메서드를 호출하는데 사용된다.
• AuthenticationManager 는 단순한 인터페이스이며, 실제 구현은 ProviderManager 이다.
• ProviderManager 에는 사용자 요청을 인증하는 데 필요한 AuthenticationProvider 목록이 있다.
  • ProviderManager 는 제공된 각 AuthenticationProvider 를 살펴보고, 인증된 개체(UsernamePasswordAuthenticationToken) 를 기반으로 사용자 인증을 시도한다.

 

 

   4. AuthenticationProvider 목록으로 인증 시도

 

• AuthenticationProvider 는 제공된 인증 개체로 사용자를 인증한다.
• 프레임워크에 제공되는 AuthenticationProvider 일부
  • CasAuthenticationProvider
    • Cas(Central Authentication Service) : 중앙 인증 서비스로, 웹용 통합 인증 프로토콜이다.
      • 자격 정보를 한 번만 제공함으로써 사용자가 여러 어플리케이션에 접근할 수 있도록 하는 것이 목적
      • 암호와 같은 사용자의 보안 자격 정보에 접근 권한을 제공하지 않아도, 웹 어플리케이션들이 사용자를 인증할 수 있도록 한다.
  • JaasAuthenticationProvider
  • DaoAuthenticationProvider
  • OpenIDAuthenticationProvider
  • RememberMeAuthenticationProvider
  • LdapAuthenticationProvider

 

 

   5. PasswordEncoder(비밀번호 암호화 인터페이스) 에서 패스워드 비교

 

• PasswordEncoder 는 패스워드 암호화에 사용될 PasswordEncoder 구현체를 지정할 수 있다.
• SpringBoot 2.0 부터는 인증을 위해서 반드시 PasswordEncoder 를 지정해야 한다.
• BCryptPasswordEncoder : bcrypt 라는 해시 함수를 이용해서 패스워드를 암호화하는 목적으로 설계된 클래스이며, 많이 사용된다.

@Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

 

6 ~ 8. 사용자 정보 인터페이스를 통해 DB에서 사용자 정보 반환

 

• 일부 AuthenticationProvider 는 사용자 이름(username)을 기반으로 사용자 세부 정보를 검색하기 위해 UserDetailsService 를 사용할 수 있다.
  • Ex) DaoAuthenticationProvider
• UserDetailsService 는 Spring Security 의 인터페이스이며, 이를 구현한 서비스는 직접 개발해야 한다.(Customize)
• 즉, 위의 코드에서 loadUserByUsername 메소드를 오버라이드해 DB와 비교하는 ****로직을 직접 짜야 하는 것이다.
  • DB와 연결을 위한 VO 로 User 를 개발 할 수 있다.

 

 

    9. 인증 개체 반환 혹은 AuthenticationException 발생

 

• AuthenticationProvider 인터페이스에 의해 사용자가 성공적으로 인증되면 → 완전히 채워진 인증 개체가 반환된다.
• 인증에 실패하면, AuthenticationException 이 발생한다.
  • AuthenticationException 이 발생하면, 인증 메커니즘을 지원하는 AuthenticationEntryPoint 에 의해 처리된다.
    • AuthenticationEntryPoint 는, 인증 과정에 실패하거나 인증 헤더(Authorization) 를 보내지 않게 되는 경우 → 401(UnAuthorized) 라는 응답값을 받게되는데, 이를 처리하는 로직을 수행하는 인터페이스이다.

 

 

   10. 인증 완료

 

• AuthenticationManager 는 획득한 완전히 채워진 인증 개체를 관련 인증 필터(AuthenticationFilter) 로 다시 반환한다.

 

 

   11. SecurityContext 에 인증 개체 설정(Authentication 저장 및 인증 완료 처리)

 

• 관련 AuthenticationFilter 는 이후에 필터 사용을 위해 획득한 인증 개체를 SecurityContext 에 저장한다.

SecurityContextHolder.getContext().setAuthentication(authentication);

• 이후, SecurityContext 에 인증 개체가 있는지 확인하고 → 인증 로직이 수행되거나 수행되지 않는다.

---

🔖 참고 자료

• 참고1
• 참고2
• 참고3