Spring Security 적용기 (2) Spring Security Configuration

2024.04.22 - [Study/Java] - Spring Security 적용기 (1) Spring Security란?

Spring Security 적용기 (1) Spring Security란?

지난 포스팅에 이어 이번 포스팅에서는 Spring Security Configuration에 대해 알아보았다.

---

 

해당 프로젝트는  Spring Boot 3.1.11에서 진행하는 프로젝트이며, Spring Security 적용을 위해 spring-boot-starter-security 의존성을 추가한다. 

 

dependencies {
	implementation 'org.springframework.boot:spring-boot-starter-security'
}

 

 

SpringBoot 3.1.11 버전 이므로 security 버전은 6.1이다. 

6.1 버전 부터는 WebSecurityConfigureAdapter 클래스가 deprecated 되어 해당 클래스를 상속 받아 config 메소드를 구현하는 대신 SecurityFilterChain을 반환하고 직접 Bean으로 등록하도록 설정 방법이 바뀌었다고 한다.

 

기존 설정 방법 예시

@EnableWebSecurity
@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter{

	@Override
    protected void configure(HttpSecurity http) throwd Exception{
    	http.crsf().disable();
    }
}

---

WebSecurityConfig.java

package com.shop.kns.config;

import lombok.RequiredArgsConstructor;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.method.configuration.EnableMethodSecurity;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configurers.AbstractHttpConfigurer;
import org.springframework.security.config.http.SessionCreationPolicy;
import org.springframework.security.web.SecurityFilterChain;
import org.springframework.security.web.authentication.SimpleUrlAuthenticationSuccessHandler;
import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter;
import org.springframework.security.web.authentication.www.BasicAuthenticationFilter;
import org.springframework.web.cors.CorsConfiguration;
import org.springframework.web.cors.CorsConfigurationSource;
import org.springframework.web.cors.CorsUtils;
import org.springframework.web.cors.UrlBasedCorsConfigurationSource;

import java.util.List;

/**
 * Spring Security Configuration
 */
@Configuration
@EnableWebSecurity
@EnableMethodSecurity
@RequiredArgsConstructor
public class WebSecurityConfig {

    @Value("${cors.allowed.origins}")
    private String allowdOrigins;
    private static final String[] WHITE_LIST = {
            // Swagger UI v3
            "/v3/api-docs/**", "v3/api-docs/**", "/swagger-ui/**", "swagger-ui/**",
            // auth
            "/api/v1/auth/**",
            // test
            "/api/v3/api-docs/**", "/api/swagger-ui/**",
    };
    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http
                .csrf(AbstractHttpConfigurer::disable) //csrf 비활성화
                .cors(cors -> cors.configurationSource(corsConfigurationSource())) //cors 구성
                .authorizeHttpRequests(authorize -> authorize //authorize(권한)
                        .requestMatchers(WHITE_LIST).permitAll()
                        .requestMatchers(CorsUtils::isPreFlightRequest).permitAll()
                        .requestMatchers("/shop/**").permitAll()
                        .anyRequest().authenticated()
                )
                .addFilterBefore(jwtAuthorizationFilter, UsernamePasswordAuthenticationFilter.class) //사용자 정의 필터 추가
                .sessionManagement(session -> session.sessionCreationPolicy(SessionCreationPolicy.STATELESS)) //세션 생성 정책
                .formLogin(login -> login //로그인 처리 설정
                        .loginPage("/login") //로그인 페이지
                        .successHandler(new SimpleUrlAuthenticationSuccessHandler("/shop")) //로그인 인증 성공 후 이동할 URL
                        .permitAll()
                );
        return http.build();
    }


    /**
     * CORS 정책 설정
     */
    @Bean
    public CorsConfigurationSource corsConfigurationSource(){
        CorsConfiguration corsConfiguration = new CorsConfiguration();
        corsConfiguration.setAllowedOrigins(List.of(allowdOrigins)); //허용할 URL
        corsConfiguration.setAllowedMethods(List.of("GET", "POST", "PUT", "DELETE")); //허용할 method
        corsConfiguration.setAllowedHeaders(List.of("X-Requested-With", "Content-Type", "Authorization", "X-XSRF-token")); //허용할 header
        corsConfiguration.setAllowCredentials(false); //자격증명(쿠키, 인증 헤더 등) 허용 여부
        corsConfiguration.setMaxAge(3600L); //브라우저 응답 캐시 시간(1시간)

        UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
        source.registerCorsConfiguration("/**", corsConfiguration);
        return source;
    }
}

 

 

코드 한 줄 한 줄 훑어 보자.

 

@Value("${cors.allowed.origins}")
private String allowdOrigins;

 

cors 예외 처리를 위한 url은 별도 환경변수로 지정하였다. 

 

private static final String[] WHITE_LIST = {
        // Swagger UI v3
        "/v3/api-docs/**", "v3/api-docs/**", "/swagger-ui/**", "swagger-ui/**",
        // auth
        "/api/v1/auth/**",
        // test
        "/api/v3/api-docs/**", "/api/swagger-ui/**",
};

 

접근 허용 경로를 위한 String[]을 미리 정의하였다.

 

@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {

 

위에서 Spring security가 업데이트가 되면서 변경된 부분이다. SecurityFilterChain을 반환하고, 이를 @Bean으로 등록하는 방식이다. 

 

.csrf(AbstractHttpConfigurer::disable) //csrf 비활성화

 

REST API에서 CSRF를 disable 하는 이유는 jwt를 사용할 예정이기 때문이다. jwt는 세션 기반 인증과는 다르게 stateless하기 때문에 서버에 인증 정보를 보관하지 않는다. REST API에서 Client는 권한이 필요한 요청을 하기 위해서는 요청에 필요한 인증 정보는(OAuth2, jwt 토큰 등)을 포함시켜야 한다. 따라서 인증정보를 서버에 저장하지 않기 때문에 굳이 불필요한 csrf 코드를 작성할 필요가 없다. 

 

.authorizeHttpRequests(authorize -> authorize //authorize(권한)
        .requestMatchers(WHITE_LIST).permitAll()
        .requestMatchers(CorsUtils::isPreFlightRequest).permitAll()
        .anyRequest().authenticated()
)

 

페이지에 대한 권한 설정이다. WHITE_LIST로 들어오는 요청은 모두 허용으로 설정하였다. 

 

.requestMatchers(CorsUtils::isPreFlightRequest).permitAll()

 

위의 코드는 PreFlight 요청에 대해 모두 허용 하겠다는 설정이다. Cors pre-flight 요청은 실제 요청을 보내기 전에 브라우저가 서버로 추가로 보내는 추가 요청이다. 이 요청은 브라우저가 현재 도메인에서 다른 출처(origin)로의 요청을 보내기 전에, 서버가 해당 요청을 수락할 수 있는지 확인하기 위해 사용한다. 

 

Cors pre-flight 요청은 주로 아래와 같은 경우에 발생한다. 1. 브라우저에서 Ajax 요청을 보낼 때, 해당 요청이 같은 출처가 아닌 다른 도메인으로 보내는 경우2. 요청에 특정한 HTTP 메서드나 헤더가 포함되어 있는 경우. 예를 들어 'PUT', 'DELETE', 'Content-Type' 등

 

.addFilterBefore(jwtAuthorizationFilter, UsernamePasswordAuthenticationFilter.class)

 

UsernamePasswordAuthenticationFilter 적용 전에 jwtAuthorizationFilter를 적용하는 부분이다. Spring Security에서는 BasicAuthenticationFilter를 제공하고 있지만, 해당 필터는 사용자의 ID와 비밀번호를 헤더에 전달하는 방식으로 jwt 인증 방식과 충돌하므로 이를 disable하는 것이 좋다. 

 

UsernamePasswordAuthenticationFilter

1. 주로 사용자가 아이디와 비밀번호를 입력하여 로그인하는 데 사용2. 사용자가 로그인 페이지에 아이디와 비밀번호를 제출하면, 이 필터가 해당 정보를 받아서 Spring Security의 인증 매니저에게 전달한다. 인증 매니저는 제공된 아이디와 비밀번호를 사용하여 사용자를 인증하고, 인증이 성공하면 인증된 사용자 정보를 생성한다. 

 

BasicAuthenticationFilter

1. HTTP Basic 인증 스킴을 처리하는데 사용된다. 2. 클라이언트가 요청을 보낼 때 Authorization 헤더에 Base64로 인코딩된 "username:password"를 포함하여 보내면, 이 필터가 이를 추출하고 인증 매니저에게 전달한다. 주로 Restful API에서 사용되며, 클라이언트가 요청을 보낼 때 HTTP Basic 인증 헤더를 포함하여 보내는 경우 사용한다.

 

UsernamePasswordAuthenticationFilter는 사용자가 직접 로그인 하는 경우에 사용되고, BasicAuthenticationFilter는 클라이언트가 HTTP Basic 인증을 사용하여 요청을 보내는 경우 사용한다. 

일반적으로 jwt를 사용할 경우 사용자가 아이디와 비밀번호를 제출하는 방식이 아니기 때문에 UsernamePasswordAuthenticationFilter를 사용한다. 

 

.sessionManagement(session -> session.sessionCreationPolicy(SessionCreationPolicy.STATELESS)) //세션 생성 정책

 

JWT를 사용할 예정이므로 STATELESS 즉, 세션을 사용하지 않겠다는 설정을 한다.

 

.formLogin(login -> login //로그인 처리 설정
        .loginPage("/login") //로그인 페이지
        .successHandler(new SimpleUrlAuthenticationSuccessHandler("/shop")) //로그인 인증 성공 후 이동할 URL
        .permitAll()
);

 

로그인 처리에 대한 설정이다.

---

참고자료

https://sbl133.tistory.com/88

[spring] spring security를 이용한 JWT 로그인