Spring Security란 무엇일까

# 인증과 인가

• 인증(Authentication) 은 내가 누구인지 식별하고, 입증하는 과정이다.
• 인가(Authorization) 은 인증이 완료된 사용자의 권한을 설정하는 과정이다.
• 접근 주체(Principal) 은 보호된 대상에 접근하는 유저 또는 시스템을 의미한다.
• 역할(Role) 에 따라 다른 권한을 부여해야한다.

 

 

# 서블릿과 필터

인증, 인가를 담당하는 코드도 기존의 서비스와 함께 작성할 수 있다. 실제로 서블릿 초기에도 그랬었다.

하지만 [비즈니스 로직]과 [인증, 인가를 담당하는 로직]은 서로의 역할이 다르고 전혀 관련이 없다. 모든 객체에 같은 보안을 적용할 경우 코드는 반복되고 수정했을 때 아무런 상관없는 영역까지 변경이 전파되는 상당히 큰 단점이 있다.

 

그래서 서블릿 2.3부터 필터라는 개념을 도입했고, 필터는 서블릿과 유사하나 Request, Response를 먼저 받아 조작할 수 있었다. 요청이 담당 서블릿에 도달하기 전 필터 체인을 거치도록 해서 이를 해결했었다.

기존의 인증, 인가나 보안에 관련된 부분은 이 필터를 이용하여 구현하는게 일반적이었다. 우리가 흔히 알고 있는 로그인/로그아웃을 예시로 들면 아래와 같다.

1. 사용자는 로그인을 한다.

2. 시스템은 로그인한 사용자 정보를 세션에 저장한다. 

3. 사용자는 기능을 요청한다.

4. 시스템은 사용자가 요청한 기능을 수행하기 전에 요청한 사용자의 세션을 체크한다.

5. 시스템은 올바른 세션일 경우 기능 승인, 세션이 없거나 권한이 없는 사용자인 경우 로그인 페이지로 이동.

@WebServlet(name = "loadAppConfig", urlPatterns = { "/loadConfig" }, loadOnStartup = 1)
public class LoggingFilter implements Filter {
 
    // 필터 객체가 생성될 때 초기화시 사용
    // config 객체에서 필터 정보, 주어진 파라메타, 서블릿 정보등를 얻을 수 있다.
    public void init(FilterConfig config) throws ServletException {
        System.out.println("필터 초기화 됨");
    }
    
    //요청시마다 필터가 실행할 메서드
    public void doFilter(ServletRequest request, ServletResponse  response, FilterChain chain)
            throws IOException, ServletException {
            
        boolean flag = false;

        if (request instanceof HttpServletRequest) {
            HttpServletRequest req = (HttpServletRequest) request;

            //세션 받아옴
            HttpSession session = req.getSession();

            if (session != null) {
                if (session.getAttribute("customInfo") != null) { flag = true;}
            }

            if (flag) {
                //로그인을 했을경우 다음 필터 체인으로 이동
                chain.doFilter(request, response);

            } else {
                //로그인 하지 않았으므로 로그인페이지로 포워드
                RequestDispatcher rd = request.getRequestDispatcher("/member/login.jsp");
                rd.forward(request, response);
            }
    }
 
    //필터 객체가 제거될 때 실행
    public void destroy() {
        System.out.println("필터 제거됨.");
    }
}

 

 

# 스프링에서의 필터

스프링 MVC는 마법의 도구가 아니다. 추상화 되었을 뿐 자바와 서블릿으로 톰캣 같은 WAS에서 동작하는건 동일하다.

스프링 MVC는 프론트 컨트롤러 패턴을 이용한다. 즉 단 하나의 Dispatcher Servlet을 이용하여 요청을 받고 서비스를 추상화 한다.

 

즉 스프링에서도 필터를 그대로 사용할 수 있다. 스프링 부트를 이용하면 아래와 같이 간단하게 등록할 수 있다.

// 필터를 컴포넌트 자동스캔으로 등록 하는 방법
@ServletComponentScan
@WebServlet(name = "loadAppConfig", urlPatterns = { "/*" }, loadOnStartup = 1)
public Class LogFilter{ ... }

// FilterRegistrationBean 를 이용해서 수동으로 등록하는 방법
// 물론 필터 객체를 그대로 등록해도 상관없지만, 사용하면 다양한 기능을 사용할 수 있다.
import org.springframework.boot.web.servlet.FilterRegistrationBean;
 
@Configuration
public class WebConfig {
  @Bean
  public FilterRegistrationBean logFilter() {
    FilterRegistrationBean<Filter> filterRegistrationBean = new FilterRegistrationBean<>();
    
    filterRegistrationBean.setFilter(new LogFilter());
    filterRegistrationBean.setOrder(1); // 필터에서는 안되는 체인 순서 지정도 가능
    filterRegistrationBean.addUrlPatterns("/*"); // 필터를 적용할 URL 규칙 추가
    return filterRegistrationBean;
  }
}

 

필터 객체를 구현할 때에도 스프링에서 제공해주는 라이브러리를 적절하게 사용하면 편리하다.

@Slf4j
public class LoginCheckFilter implements Filter {
 
  // 로그인이 필요없는 URL 모음 (whiteList)
  private static final String[] whitelist = {"/", "/members/add", "/login", "/logout", "/css/*"};
 
  @Override
  public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain)
      throws IOException, ServletException {
 
    HttpServletRequest httpRequest = (HttpServletRequest) request;
    String requestURI = httpRequest.getRequestURI();
 
    HttpServletResponse httpResponse = (HttpServletResponse) response;
 
    try {
      log.info("인증 체크 필터 시작 {}", requestURI);
 
      if (isLoginWhitelistPath(requestURI)) { // 로그인이 필요한 페이지 접속
        HttpSession session = httpRequest.getSession(false);
        if (session == null || session.getAttribute(SessionConst.LOGIN_MEMBER) == null) {
          // 미인증 사용자 요청 -> 로그인으로 redirect
          httpResponse.sendRedirect("/login?redirectURL=" + requestURI);
          return;
        }
      }
      
      chain.doFilter(request, response);
    } catch (Exception e) {
      throw e; //예외처리 & 로깅 가능하지만, 톰캣까지 예외를 보내주어야 함
    } finally {
      log.info("인증 체크 필터 종료 {} ", requestURI);
    }
  }
 
  // 화이트 리스트 URL의 경우 인증 체크X
  private boolean isLoginWhitelistPath(String requestURI) {
    // 스프링의 PatternMatchUtils를 사용. 이를 직접 구현하면 코드가 매우 복잡해진다.
    return !PatternMatchUtils.simpleMatch(whitelist, requestURI);
  }
}

 

 

# 스프링 인터셉터

서블릿은 자바 웹 표준에서 제공하는 기능이라면, 인터셉터는 스프링 MVC에서만 제공하는 기능이다.
서블릿과 상관없이 Dispatcher Servlet에서 컨트롤러에 가기 전에 실행된다. 즉 스프링 MVC의 핵심인 Dispatcher Servlet에서 동작하는 모든 객체들, 예외에 접근할 수 있다.

public interface HandlerInterceptor {
    
  // 컨트롤러 요청 전
  default boolean preHandle(HttpServletRequest request, HttpServletResponse response,
      Object handler) throws Exception {
  }
 
  // 컨트롤러 호출 이후 (뷰에 전달할 Model 객체 제공)
  default void postHandle(HttpServletRequest request, HttpServletResponse response,
      Object handler, @Nullable ModelAndView modelAndView)
      throws Exception {
  }
 
  // 완전하게 HTTP 요청이 끝난 이후 (Exception 제공)
  default void afterCompletion(HttpServletRequest request, HttpServletResponse response,
      Object handler, @Nullable Exception ex) throws
      Exception {
  }
}

 

 

# 서블릿 vs 인터셉터

인터셉터의 기능이 더 강력하긴 하지만, 이는 스프링에서만 사용할 수 있는 기능이다.

서블릿과 필터는 J2EE 표준 스펙에 정의 되어있는 기능이기에 Web app에 전역적으로 처리해야하는 기능은 필터로 구현하는 것이 좋고, 클라이언트에 들어오는 디테일한 처리는 인터셉터의 다양한 기능으로 처리하는게 깔끔하다.

참고로 스프링 MVC에서 요청을 처리하는 흐름은 아래와 같다.

HandlerExceptionResolver는 컨트롤러에서 발생한 에러를 WAS에 넘기지 않고 중간에 가로채서 처리한다. (해당 에러를 처리하는 Resolver가 있다면)

 

 

---

# 스프링에서 필터는 어떻게 추가기능을 제공하는거죠?

스프링에서는 서블릿 요청이 들어오면 스프링 컨테이너(ApplicationContext)와 연결할 수 있는 DelegationFilterProxy라는 서블릿 필터를 제공한다.

 

DelegationFilterProxy를 통해 스프링 빈으로 구현한 필터를 등록하고, 서블릿 표준 필터처럼 동작하게 된다. 

즉, Spring Security가 Filter를 사용해서 구현했다는 말은, DelegationFilterProxy를 통해 필터를 등록했다는 말이다.

Spring Security는 FilterChainProxy를 통해 다양한 필터기능을 구현하며, 이는 스프링 빈이기에 DelegationFilterProxy를 통해 필터에 추가된다.

FilterChainProxy는 Spring Security에서 제공하는 특수 필터로 다양한 인스턴스를 SecurityFilterChain을 통해 위임을 하고 있다. 일종의 스프링 시큐리티를 위한 디스패쳐 서블릿이라고 생각하면 된다.

https://bloowhale.tistory.com/13

Spring Security 구조와 인증 방식의 이해 - 01

 

---

# Spring Security란?

스프링 재단에서 제공하는 모듈 중 하나이며, 스프링을 기반으로 하는 보안 프레임워크이다.

Spring Security를 사용하면 자체적으로 세션을 체크하고, 리다이렉션하던 것들을 추상화하여 편하게 구현할 수 있다.

Spring Security는 스프링 의존성을 없애기 위해 필터(Filter)를 기반으로 동작한다. 즉 기존의 Spring MVC, 비즈니스 코드와 완벽하게 분리하여 관리, 동작할 수 있다.

 

Spring Seucirty 에서는 개발자가 직접 만들어야할 필터들을 기본으로 제공한다.

이렇게 제공하는 10개 이상의 필터들을 Security Filter Chain이라고 부른다.

각 필터가 사용하는 객체들 (Repository, Handle, Manager)

 각 필터에 대해 간단하게 설명하면 아래와 같다.

• SecurityContextPersistenceFilter : SecurityContextRepository에서 SecurityContext를 가져오거나 저장한다.
• LogoutFilter : 설정된 로그아웃 URL로 오는 요청을 감시하며, 해당 유저를 로그아웃 처리한다.
• (UsernamePassword)AuthentocationFilter
  (아이디와 비밀번호를 사용하는 form 기반 인증) 설정된 로그인 URL로 오는 요청을 감시하며, 유저 인증을 처리.
  1. AuthenticationManager를 통한 인증 실행.
  2. 인증 성공 시, 얻은 Authentication 객체를 SecurityContext에 저장 후, AuthenticationSuccessHandler 실행.
  3. 인증 실패 시, AuthenticationFailureHandler 실행.
  
  
• DefaultLoginPageGeneratingFilter : 인증을 위한 로그인 폼 URL을 감시.
• BasicAuthentocationFilter : HTTP 기본 인증 헤더를 감시하여 처리.
• RequestCacheAwareFilter : 로그인 성공 후 , 원래 요청 정보를 재구성하기 위해 사용.
• SecurityContextHolderAwareRequestFilter :
  HttpServletRequestWrapper를 상속한 SecurityContextHolderAwareRequestWrapper 클래스로 HttpServletRequest 정보를 감싼다. SecurityContextHolderAwareRequestWrapper는 필터 체인상의 다음 필터들에게 정보를 제공한다
  
  
• AnonymousAuthenticationFilter : 이 필터가 호출되는 시점까지 사용자 정보가 인증되지 않았다면, 인증 토큰에 사용자가 익명 사용자로 나타난다.
• SessionManagementFilter : 이 필터는 인증된 사용자와 관려된 모든 세션을 추적한다.
• ExceptionTranslationFilter : 이 필터는 보호된 요청을 처리하는 중에 발생할 수 있는 예외를 위임, 전달한다.
• FilterSecurityINterceptor : AccessDecisionManager로써 권한 부여처리를 위임하여 접근 제어를 쉽게 해준다.