Spring Security

💡 스프링 시큐리티(Spring Security)란?

스프링 시큐리티는 스프링 기반의 애플리케이션의 보안(인증과 권한, 인가 등)을 담당하는 스프링 하위 프레임워크 즉 인증(Authenticate, 누구인지?) 과 인가(Authorize, 어떤것을 할 수 있는지?)를 담당하는 프레임워크를 말한다.

스프링 시큐리티는 주로 서블릿 필터와 이들로 구성된 필터체인을 통해 웹 요청에 대한 보안 관련 처리를 수행한다. 서블릿 필터란 HTTP 요청을 가로채 전처리 및 후처리를 수행할 수 있도록 만들어진 자바 표준 기술이다.

필터는 체인으로 구성될 수 있으며, 하나의 필터가 자신의 역할을 한 후 요청과 응답 객체를 다음 필터로 넘길 수 있다.

 그리고 보안과 관련해서 체계적으로 많은 옵션을 제공해주기 때문에 개발자 입장에서는 일일이 보안관련 로직을 작성하지 않아도 된다는 장점이 있다. 실제로 스프링 시큐리티를 사용하기 이전 기존 노드와 리액트로 혼자 프로젝트를 진행했을 경우 로그인의 경우 일일히 각 계정마다 접근 조건을 부여하거나 일정 url에 접근을 제어하는 등 작업이 많았지만 스프링 시큐리티를 간단하게 활용해보면서 여러모로 편리함을 느꼈다. 

 

접근 주체(Principal) : 보호된 리소스에 접근하는 대상
인증(Authentication) : 보호된 리소스에 접근한 대상에 대해  누구인지, 애플리케이션의 작업을 수행해도 되는 주체인지 확인하는 과정(ex. Form 기반 로그인) => 즉, 누구인지?
인가(Authorize) : 해당 리소스에 대해 접근 가능한 권한을 가지고 있는지 확인하는 과정(After Authentication, 인증 이후)  => 즉, 어떤 것을 할 수 있는지?
권한 : 어떠한 리소스에 대한 접근 제한, 모든 리소스는 접근 제어 권한이 걸려있음. 인가 과정에서 해당 리소스에 대한 제한된 최소한의 권한을 가졌는지 확인

 

즉 스프링 시큐리티가 하는 일을 아주 간단하게 말하자면 클라이언트의 요청이 서블릿에 도착하기 전에 여러 필터를 거치게해서 인증, 인가 및 여러 보안처리를 하는 것이다.

💡 스프링 시큐리티 특징과 구조 

•  보안과 관련하여 체계적으로 많은 옵션을 제공하여 편리하게 사용할 수 있음
•  Filter 기반으로 동작하여 MVC와 분리하여 관리 및 동작
• 어노테이션을 통한 간단한 설정
• Spring Security는 기본적으로 세션 & 쿠키방식으로 인증

동작과 구조 학습 참고 

Kimchanjung님 블로그

https://kimchanjung.github.io/programming/2020/07/01/spring-security-01/

[Spring Security] 스프링시큐리티 기본개념과 동작구조의 이해(1)

1. pox.xml에 추가

2. webSecurityConfig Class작성

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    DataSource dataSource;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .csrf().disable()
                .authorizeRequests()
                .antMatchers("/", "/css/**", "/account/**","/images/**").permitAll()
                .anyRequest().authenticated()
                .and()
                .formLogin()
                .loginPage("/account/login")
                .permitAll()
                .and()
                .logout()
                .permitAll();
    }
    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth)
            throws Exception {
        auth.jdbcAuthentication()
                .dataSource(dataSource)
                .passwordEncoder(passwordEncoder())
                .usersByUsernameQuery("select username,password,enabled "
                        + "from user "
                        + "where username = ?")
                .authoritiesByUsernameQuery("select u.username,r.name  "
                        + "from user_role ur inner join user u on ur.user_id=u.id "
                        + "inner join role r on ur.role_id = r.id "
                        + "where u.username = ?");
    }
//    //    Authentication 로그인
////    Authorization 권한
    @Bean
    public static PasswordEncoder passwordEncoder() {

        return new BCryptPasswordEncoder();
    }
}

 

실습 강의 참고

https://wikidocs.net/161165

https://www.youtube.com/watch?v=0JHIME7uGOk&list=PLPtc9qD1979DG675XufGs0-gBeb2mrona&index=9