Spring Security 란?

 

해당 글은 올해 팀 내 PoC로 진행했던 E2E 테스트 자동화 솔루션 개발 프로젝트를 진행했던 내용을 기록하고자 합니다.

프로젝트 초기 구축을 맡아 진행하면서 인증과 권한 권리를 위해 Spring Security와 JWT를 도입했으며, 회원가입과 로그인 같은 기본적인 인증 절차를 구축하며 프레임워크를 학습하고 적용하는 과정을 통해 많은 것을 배울 수 있었습니다.

다만, 이번 프로젝트는 학습과 병행하며 진행된 만큼 아직 개선한 여지가 있는 부분이 있습니다. 글을 읽으시다가 잘못 작성되거나 개선할 부분이 있다면 댓글로 남겨주시면 감사하겠습니다.🙌🏻

 

 

 

 

목차

1. Spring Security 란?

2. Spring Security 사용하면 뭐가 좋을까?

3. Spring Security 동작 구조를 알아보자.

4. 더 자세히 알아보자.

 

 

 

 Spring Security 란?

Java 애플리케이션 인증(Authentication)과 권한 부여(Authorization)를 모두 제공하는 데 중점을 둔 보안 프레임워크로, Spring Framework를 기반으로 한 애플리케이션에 사용되며, 다양한 보안 관련 요구 사항을 쉽게 해결할 수 있도록 설계되었습니다.

 

주요 특징으로는 

1. 인증(Authentication)

• 사용자가 누구인지 확인하는 과정으로, 예를 들어 사용자가 로그인 폼에서 입력한 아이디와 비밀번호를 통해 본인 여부를 확인합니다.

2. 권한 부여(Authorization)

• 인증된 사용자가 특정 리소스에 접근할 수 있는 권한이 있는지 확인하는 과정입니다. 부여받은 권한에 따라 접근할 수 있는 페이지가 다를 수 있는데 예를 들어, 관리자는 모든 페이지에 접근할 수 있지만 일반 사용자는 특정 페이지에만 접근할 수 있도록 설정할 수 있습니다.

3. 유연성

• 데이터베이스 기반 인증, OAuth2, SMAL, LDAP 등의 다양한 인증 방식을 지원하며, 사용자 정의 인증 및 권한 부여 로직을 쉽게 구현할 수 있습니다.

4. 보안 기능 내장

• 세션 고정, CSRF(Cross-Site Request Forgery) 등과 같은 공격으로부터 보호받을 수 있습니다.

---

Spring Security 사용하면 뭐가 좋을까?

애플리케이션 보안 기능을 효과적으로 추가하고 관리할 수 있습니다.

 

1. 로그인과 인증 기능을 간편하게 구현

예를 들어, 한 명의 사용자가 쇼핑몰 웹 사이트에 아이디와 비밀번호로 로그인한다고 가정해보면

Spring Security는 로그인 요청을 처리하고 사용자 정보를 데이터베이스에서 확인한 뒤, 인증이 성공하면 자동으로 세션을 생성하고 인증상태를 유지하게 됩니다. 이 과정에서 별도의 인증 로직을 처음부터 구현할 필요 없이, Spring Security에서 제공하는 기능을 활용할 수 있습니다.

 

즉, 인증 로직에 대한 개발 시간 절약과 표준화된 방식으로 높은 안정성을 제공할 수 있습니다.

 

2. URL 별 접근 권한 제어

권한 별 접근할 수 있는 페이지를 세부적으로 설정할 수 있습니다.

예를 들어 쇼핑몰 관리자 페이지 (/admin)은 관리자 권한을 가진 사용자만 접근할 수 있어야하며, 그 외 일반 사용자는 상품 정보, 자신의 주문 내역 등 볼 수 있는 페이지를 제한해야 합니다.

 

Spring Security를 사용하면 아래와 같이 간단한 설정으로 권한 관리를 할 수 있습니다.

http
    .authorizeRequests()
        .antMatchers("/admin").hasRole("ADMIN")  // 관리자만 접근 가능
        .antMatchers("/user/**").hasRole("USER")  // 일반 사용자 접근 가능
        .anyRequest().authenticated();  // 나머지 요청은 인증만 되면 접근 가능

 

3. 다양한 인증 방식 지원

OAuth 2.0 및 JWT와 같은 인증 방식을 통합하여 사용자 인증을 쉽게 처리할 수 있습니다.

REST API를 개발하면서 JWT을 사용해 인증 토큰을 발급하고, 이를 통해 클라이언트와 서버 간 인증을 처리할 수 있습니다.

 

이처럼 Spring Security는 개발자에게 반복적인 보완 관련 작업을 간소화하고, 표준화된 방식으로 높은 보안 수준을 제공하기 때문에 개발효율을 높일 수 있습니다.

 

---

Spring Security 동작 구조에  대해서 알아보자.

Spring Security는 요청(Request)이 애플리케이션에 도달하기 전에 보안 필터(Security Filters)를 통해 인증과 권한 부여를 처리하는 구조로 설계되어 있습니다. 동작 구조를 주요 단계별로 보면

 

1단계. 요청(Request)이 Security Filter Chain에 진입

Spring Security는 HTTP 요청이 들어오면 이를 처리하기 위해 FilterChainProxy라는 메인 필터를 통해 요청을 가로챕니다.

필터 체인에서 인증 및 권한 부여를 수행하고, 검증이 완료된 이후에 다음 필터 또는 컨트롤러로 전달됩니다.

 

2단계. 인증(Authentication) 처리

사용자가 애플리케이션에 접근하려는 경우, Spring Security는 사용자 인증하는 과정을 거칩니다.

 

2.1 로그인 요청 처리

사용자가 /login과 같은 엔트포인트로 로그인 요청을 보낼 경우, UsernamePasswordAuthenticationFilter가 이를 처리합니다. 이 필터는 아이디와 비밀번호를 읽고, AuthenticationManager에게 인증을 위임합니다.

 

2.2 AuthenticationManager 동작

사용자가 입력한 정보를 기반으로 실제 인증을 수행합니다. 일반적으로 UserDetailsService를 호출하여 사용자 정보를 데이터베이스에서 서 가져와 저장된 정보와 비교하여 인증 성공 여부를 결정합니다.

 

2.3 인증 성공/실패

인증에 성공할 경우, 사용자의 인증 정보를 SecurityContext에 저장하고 다음 필터로 요청을 전달합니다.

인증에 실패할 경우, 에러 응답(401 Unauthorized 등)을 반환합니다.

 

3. 권한 부여 (Authorization) 처리

인증이 성공한 후, 사용자가 요청한 리소스에 접근할 권한이 있는지 확인하는 단계로

 

3.1 SecurityContext에서 인증 정보 확인

SecurityContext에 저장된 인증 정보를 확인하여 사용자의 역할(Role) 또는 권한(Authority)를 가져옵니다.

 

3.2 AccessDecisionManager 동작

사용자가 요청한 URL, 메서드(GET, POST등), 리소스 등에 대해 접근 가능한지 확인합니다. 권한이 없으면 403 Forbidden 에러를 반환합니다.

 

4. FilterChain 완료 및 컨트롤러 호출

모든 필터를 성공적으로 통과한 요청은 최종적으로 애플리케이션에 컨트롤러로 전달되며, 컨트롤러는 요청을 처리하고 응답을 반환합니다.

 

5. 응답 (Response) 반환 및 세션/토큰 관리

응답을 반환할 때, Spring Security는 인증 정보를 관리하거나 상태를 업데이트 합니다.

 

세션 기반 인증의 경우, 인증 정보를 세션에 저장하고 클라이언트는 세션 쿠키를 통해 인증 상태를 유지합니다.

JWT 기반 인증의 경우, 인증 성고 시 JWT 토큰을 생성하여 클라이언트에 반환합니다. 클라이언트는 이후 요청마다 이 토큰을 헤더에 포함시켜 인증을 유지합니다.

 

 

더 자세히 알아보자.

 

먼저 사용자 인증 요청이 오면

 

1. DelegatingFilterProxy 

Servlet Container 와 Spring loC Container를 연결해주는 필터로 springSecurityFilterChain 이름으로 생성된 Bean을 찾아 요청을 위임하는 역할을 한다.

 

2. FilterChainProxy

springSecurityFilterChain의 이름으로 생성되는 필터 빈으로 DelegatingFilterProxy로부터 요청을 위임 받고 실제로 보안을 처리하는 역할을 한다. (Spring Security 초기화 시 생성되는 필터들을 관리하고 제어)

 

2-1 SecurityContextPersistenceFilter

SecurityContextRepository에서 SecurityContext를 가져오거나 생성하는 역할

 

SecurityContext는 인증 객체(Authentication)가 저장되는 저장소이며 setAuthentication() 메소드를 통해 Authentication을 설정할 수 있다.

 

SecurityContextPersistenceFilter 를 거치면 SecurityContextRepository에서 SecurityContext를 가져오는데

 

1) 처음 인증하는 사용자일 경우

SecurityContext를 생성하고 SecurityContextHolder안에 저장하고 다음 필터 실행

 

2) 인증 이력이 있는 사용자일 경우

이미 존재하는 SecurityContext를 가져와 SecurityContextHolder 에 저장하고 다음 필터 실행

 

 

2-2 LogoutFilter

로그아웃에 대한 처리 담당. 세션 무효화, 인증 토큰 삭제, SecurityContext에서 토큰 삭제 등 로그아웃 시 필요한 작업 수행

 

 

2-3 UsernamePasswordAuthenticationFilter

Form Based Authentication 방식으로 인증을 처리할 때 아이디, 패스워드 데이터를 파싱하여 인증 요청을 위임하는 필터

해당 인증 방식외에 다른 로그인 방식을 사용한다면 disable() 을 통해 폼 기반 로그인 방식 비활성화 할 수 있다.

 

HttpServletRequest 객체에서 아이디, 패스워드 정보를 가져와 Authentication  객체에 저장하고 AuthenticationManager에게 인증처리를 전달한다.

 

2-4 ConCurrentSessionFilter

현재 사용자 계정으로 인증을 받은 사용자가 두 명 이상힐 때 실행되는 필터로 매 요청마다 사용자의 세션 만료 여부를 체크하고 세션이 만료되었을 경우 즉시 만료처리 하는 역할

 

2-5 RememberMeAuthenticationFilter

세션이 만료되거나 무효화되어서 세션안에 있는 SecurityContext 내 인증 객체가 null일 경우 실행되는 필터로 사용자가 요청하는 Reqeust Header에 remeber-me cookie 값을 헤더에 저장한 상태로 요청이 왔을 때 접속한 사용자 대신 인증처리를 시도

 

2-6 AnonymousAuthenticationFilter

인증 시도를 하지 않고 권한도 없이 어떤 자원에 바로 접속을 시도하는 경우 실행되는 필터로 annonymouseAuthenticationToken을 만들어 SecurityContext 객체에 저장하는 역할

 

2-7 SessionManagementFilter

현재 세션에 SecurityContext가 없거나 세션이 null인 경우에 동작되는 필터로 아래 3가지 작업 수행

 

Register SessionInfo : 사용자 세션 정보 등록

인증에 성공한 SecurityContext를 세션에 저장

 

SessionFixation : 인증을 시도하기 전 이전 쿠키가 삭제되고 성공한 시점에 새로운 쿠키 발급

 

ConcurrentSession : 사용자 계정으로 동일한 세션이 존재하는지 확인

 

2-8 ExceptionTranslationFilter

Filter Chain을 거치면서  발생하는 인증, 인가 예외가 발생할 때 실행되는 필터

 

AuthenticationException : 인증 예외 처리

 

AccessDeniedException : 인가 예외 처리

 

2-9 FilterSecurityInterceptor

권한 부여와 관련한 결정을 AccessDecisionManager에게 위임해 권한부여 결정 및 접근 제어 처리