Spring Security

스프링 시큐리티가 뭐야?

스프링 시큐리티는 인증 (Authentication), 권한(Authorize) 부여 및 보호 기능을 제공하는 프레임워크다.

Java / Java EE 프레임워크

개발을 하면서 보안 분야는 시간이 많이 소요되는 활동들 중 하나다. Spring Security를 사용함으로써 짜여진 내부 로직을 통해 인증, 권한 확인에 필요한 기능과 옵션들을 제공한다.

인증(Authentication), 인가(Authorization)

인증과 인가란 무엇일까? 보통 인증 절차를 거친 후 인가 절차를 진행한다.

인증 : 해당 사용자가 본인이 맞는지를 확인하는 절차.
인가 : 인증된 사용자가 요청된 자원에 접근가능한가를 결정하는 절차

인증 방식

Credential 방식 : username, password를 이용하는 방식
이중 인증(Twofactor 인증) : 사용자가 입력한 개인 정보를 인증 후, 다른 인증 체계(예: 물리적인 카드)를 이용하여 두 가지의 조합으로 인증하는 방식이다.
하드웨어 인증 : 자동차 키와 같은 방식

이중 Spring Security는 Credential 기반의 인증을 취합니다.

Principal : 아이디 (username)
Credential : 비밀번호 (password)

특정 자원에 대한 접근을 제어하기 위해서는 권한을 가지게 됩니다.

특정 권한을 얻기 위해서 유저는 인증정보(Authentication)가 필요하고 관리자는 해당 정보를 참고해 권한을 인가(Authorization) 합니다.

보편적으로 username - password 패턴의 인증방식을 거치기 때문에 스프링 시큐리티는 principal - credential 패턴을 가지게 됩니다.

Spring Security의 특징

Filter를 기반으로 동작한다.
- Spring MVC와 분리되어 관리하고 동작할 수 있다.
Bean으로 설정할 수 있다.
- Spring security 3.2부터는 XML 설정을 하지 않아도 된다.

스프링 시큐리티 아키텍처 Spring Security Architecture

스크린샷 2024-10-16 16-03-33.png

Http 요청 :
- 클라이언트가 사용자 자격 증명(예: 사용자 이름과 비밀번호)을 포함하는 HTTP 요청을 보냅니다. 이 요청은 인증 필터(Authentication Filter)로 전달됩니다.
AuthenticationFilter 인증 필터 :
- 요청을 가로채고 자격 증명을 추출합니다. 그런 다음 일반적으로 UsernamePasswordAuthenticationToken과 같은 Authentication 객체를 생성합니다.
AuthenticationManager 인증 관리자 :
- 인증 필터는 AuthenticationManger 인터페이스를 호출합니다. AuthenticationManager는 인증 프로세스를 여러 AuthenticationProvider에게 위임하는 조정자 역할을 합니다.
AuthenticationProvider 인증 제공자 :
- 인증 관리자 인증 요청을 여러 AuthenticationProvider 인스턴스에 위임합니다. 각 제공자는 실제 인증 로직을 수행합니다. (예: 사용자 이름과 비밀번호를 확인)
UserDetailsService :
- DaoAuthenticationProvider와 같은 인증 제공자 중 하나는 UserDetailsService를 사용하여 사용자 정보를 가져옵니다. UserDetailsService는 데이터베이스 또는 다른 영구 저장소에서 사용자의 데이터를 로드하며, 보통 UserDetails 객체를 반환합니다.
UserDetails 인터페이스 :
- UserDetails 인터페이스는 사용자 정보를 나타내며, 이는 User 객체에 의해 구현됩니다. 여기에는 사용자 이름, 비밀번호, 역할(권한)이 포함됩니다.
사용자 이름으로 사용자 로드 :
- UserDetailsService는 사용자 이름으로 사용자의 데이터를 로드하는 로직을 구하녀하고, 사용자를 나타내는 UserDetails 객체를 반환합니다.
AuthenticationProvider 인증 제공자 :
- 사용자의 데이터가 로드되면 인증 제공자는 자격 증명이 유효한지 확입합니다(예: 비밀번호를 비교). 유효하다면 인증이 성공합니다.
성공 / 실패 :
- 인증이 성공하면 인증 관리자는 인증된 Authentication 객체를 AuthenticationFilter로 반환합니다. 자격 증명이 유효하지 않으면 AuthenticationException이 발생합니다.
SecurityContextHolder :
- 인증이 성공하면 인증된 Authentication 객체는 SecurityContextHolder에 저장됩니다. SecurityContextHolder는 현재 요청에 대한 Authentication 객체를 포함하는 SecurityContext를 관리하는 정적 헬퍼 클래스입니다.

이 아키텍처는 Spring Security가 사용자 인증을 처리하는 방식을 설명하며, HTTP 요청에서 시작해 인증된 사용자의 정보를 관리하는 다양한 구성 요소와 인터페이스를 거칩니다.