🌈 [Section4] 2. [ Spring Security ] Security 기본 1

📕 오늘 배운 내용!

• Spring Security
• Spring Security 적용

---

✏️ Spring Security

• Spring MVC 기반 애플리케이션의 인증(Authentication)과 인가(Authorization or 권한 부여) 기능을 지원하는 보안 프레임워크
  ⠀
  ( Spring MVC 기반 애플리케이션에 보안을 적용하기위한 사실상의 표준 )

• 특정 보안 요구 사항을 만족시키기 위한 코드의 커스터마이징이 용이하고 유연한 확장이 가능

💡 왜 굳이 Spring Security를 사용할까?
➜ Apache Shiro, OACC와 같은 Java 애플리케이션을 위한 보안 프레임 워크가 존재하지만 Spring Security만한 다른 프레임워크가 존재하지 않음
⠀
[Apache Shiro 참고] https://shiro.apache.org/
[OACC 참고] http://oaccframework.org/

• [세션 고정 참고] https://owasp.org/www-community/attacks/Session_fixation
• [클릭재킹 참고] https://ko.wikipedia.org/wiki/%ED%81%B4%EB%A6%AD%EC%9E%AC%ED%82%B9
• [CSRF 참고] https://namu.wiki/w/CSRF

✔ Spring Security로 할 수 있는 보안 강화 기능

• 다양한 유형(폼 로그인 인증, 토큰 기반 인증, OAuth 2 기반 인증, LDAP 인증)의 사용자 인증 기능 적용

• 애플리케이션 사용자의 역할(Role)에 따른 권한 레벨 적용

• 애플리케이션에서 제공하는 리소스에 대한 접근 제어

• 민감한 정보에 대한 데이터 암호화

• SSL 적용

• 일반적으로 알려진 웹 보안 공격 차단

✔️ Principal (주체)

• 인증 프로세스가 성공적으로 수행된 사용자의 계정 정보
  Ex. 애플리케이션에서 작업을 수행할 수 있는 사용자, 디바이스 또는 시스템 등

✔️ Authentication (인증)

• 애플리케이션을 사용하는 사용자가 본인이 맞음을 증명하는 절차
  ➜ 이를 위해 Credential(신원 증명 정보)이 필요

  💡 신원 증명 정보 (Credential)

  • 사용자를 식별하기 위한 정보
    Ex. 주민등록증, 패스워드 등

✔️ 2 팩터(factor) 인증

• 인증을 2번 받아야 하는 인증
  Ex. 온라인 뱅킹 - 1차 인증 : 공인인증서 / 2차 인증 : OTP

✔️ Authorization (인가 또는 권한 부여)

• Authentication(인증)이 정상적으로 수행된 사용자에게 하나 이상의 권한(authority)을 부여하여 특정 애플리케이션의 특정 리소스에 접근할 수 있게 허가하는 과정
  Ex. 비행기 좌석 / 극장 티켓별 좌석 등

• 반드시 Authentication 과정 이후 수행되어야 함

• 권한은 보통 역할(Role) 형태로 부여
  ➜ URL에 접근할 권한이 있는지 확인
  Ex. 관리자 / 사용자

✔️ Access Control (접근 제어)

• 사용자가 애플리케이션의 리소스에 접근하는 행위를 제어하는 것

---

😜 실습

• projects - be-template-hello-spring-security

❗ 이번에는 SSR(Server Side Rendering) 방식으로 구현된 Hello Spring Security 샘플 애플리케이션을 이용하여 실습을 진행함
⠀
➜ Spring Security의 기본 구조와 동작 방식을 이해하기 가장 쉬운 방식이 바로 서버에서 HTML을 만들어 클라이언트 쪽으로 내려주는 SSR(Server Side Rendering) 방식이기 때문
⠀
❗실습에서는 Spring Security를 적용해 모든 사용자들이 접근 가능한 화면이 되도록 설정할 수 있기만 하면되기 때문에 구체적인 컨텐츠가 없을 수 있음 !
⠀
✔️ SSR(Server Side Rendering) 방식
➜ 세션 기반의 폼 로그인 방식을 적용하기 가장 적합한 애플리케이션
⠀
✔️ 폼 로그인 방식
➜ Spring Security에 처음 입문하는 입문자들이 Spring Security를 이해하기에 가장 적합한 인증 방식

✅ 이전 실습까지 애플리케이션 내에 적용되지 않았던 것

• 로그인 기능(인증, Authentication)이 없음
  ➜ 다른 사람이 애플리케이션의 API를 호출해서 얼마든지 정보 조회 가능

• API에 대한 권한 부여(인가, Authorization) 기능이 없음
  ➜ 손님이 마음대로 커피 정보를 등록 가능

• 웹 보안 취약점에 대한 대비가 전혀 이루어지지 않았음
  ➜ 웹 애플리케이션을 위협하는 세션 고정 공격, 클릭재킹 공격, CSRF 등의 보안 취약점에 대한 고려가 전혀 이루어지지 않은 상태

✔ Spring Security 적용

• build.gradel 파일에 아래의 의존 라이브러리 추가

  implementation 'org.springframework.boot:spring-boot-starter-security'

➜ 이를 추가하기 전엔 실습 내용을 실행하고 localhost:8080에 접속했을 때 누구나 접속이 가능한 밋밋한 화면이었는데,
추가한 후에는 Spring Security의 자동 구성을 통해 디폴트 로그인 페이지가 만들어져 그 화면에서 로그인을 해야만 페이지에 들어갈 수 있도록 함

💡 회원 등록 전에 이 화면을 사용해보고 싶다면,
Spring Security에서 제공해주는 디폴트 로그인 정보를 사용할 수 있음 !
⠀

• Username: user 입력
• Password: 애플리케이션을 실행 시 마다 출력되는 로그에서 확인 가능
  
  ⬇️ 아래의 로그인을 해야지만 자격 증명에 성공하여 우리가 원래 보던 화면을 볼 수 있음 !
  
  ⠀⠀
• But, 이 방식은 아래의 문제점때문에 실무에서 사용하기엔 무리
  • 애플리케이션 매번 실행할 때마다 패스워드 바뀜
  • 회원 각자의 인증 정보로 로그인 불가
    ⠀
    ➜ Spring Security의 Configuration으로 원하는 인증 방식 설정 가능

✔ 데이터베이스 연동을 통한 로그인 인증

• InMemory 방식은 애플리케이션을 다시 시작하면 정보가 모두 사라지기 때문에 회원 정보를 데이터베이스 테이블에서 관리

• 여러 방법이 존재하지만 그 중 하나인 Custom UserDetailsService 를 이용할 것임

  💡 Spring Security에서는 인증을 시도하는 주체를 User라고 부름
  (비슷한 의미로 Principal도 있음)

  ---

  ✔️ Principal
  ➜ User의 더 구체적인 정보 의미
  ( 일반적으로 Spring Security에서의 Username을 의미 )

1. SecurityConfigurationV2 클래스 추가
   ➜ SecurityConfigurationV1에서 Memory에 직접 저장하는 userDetailsService() 메서드 제거
   PasswordEncoder 참고
   bcrypt 알고리즘 참고
   Clickjacking 공격 참고 1
   Clickjacking 공격 참고 2

2. JavaConfigurationV2 클래스 추가
   ➜ 데이터베이스에 User의 정보를 저장하기 위해 MemberService 인터페이스의 구현 클래스를 DBMemberService로 변경

3. DBMemberServiceV2 클래스 추가
   ➜ DBMemberServiceV1 + 회원 가입 시, User 의 권한 정보(Role)를 데이터베이스에 저장하는 코드

4. HelloUserDetailsServiceV1 클래스 추가
   ➜ 데이터베이스에서 조회한 User 의 인증 정보를 기반으로 인증을 처리하는 Custom UserDetailsService
   ⠀
   ➜ InMemory User 등록하는데 사용했던 InMemoryUserDetailsManager는 UserDetailsManager 인터페이스의 구현체이고,
   UserDetailsManager는 UserDetailsService를 상속하는 확장 인터페이스임

❗ 데이터베이스에서 User 의 인증 정보만 Spring Security 에게 넘겨주고,
인증 처리는 Spring Security가 대신해줌

5. HelloAuthorityUtils 클래스 추가
   ➜ HelloUserDetailsService에서 Role 기반의 User 권한을 생성하기 위해 사용

6. application.yml 파일에 관리자 이메일 주소 정의
   ( 실무에선 이렇게 안함 )

🔊 여기까지 해도 postman 으로 멤버 등록 후 H2로 들어가서 DB를 보면 PASSWORD 컬럼의 정보가 암호화가 되어 등록되어 있는 것 확인 가능 !

++ 조금 더 깔끔한 코드를 구현하기 위해 추가로

7. HelloUserDetailsServiceV2 클래스 추가
   ( HelloUserDetailsServiceV1 의 몇 부분 개선 )

8. User의 Role을 DB에서 관리하기

   8-1. Member 엔티티 클래스에 User 권한 정보 매핑
   ➜ @ElementCollection 애너테이션 추가하여 따로 엔티티 클래스 만들지 않고 매핑

   8-2. DBMemberServiceV2 클래스에 코드 추가
   ➜ 회원 등록 시, 회원의 권한 정보를 데이터베이스에 저장하는 코드 추가

   8-3. HelloAuthorityUtils 클래스에 코드 추가
   ➜ DB 저장용 createRoles() 메서드 추가

9. 로그인 인증 시, User의 권한 정보를 데이터베이스에서 조회하는 작업

   9-1. HelloUserDetailsServiceV3 클래스 추가
   ➜ 데이터베이스의 MEMBER_ROLES 테이블에서 조회한 Role 기반으로
   User 의 권한 목록(List<GrantedAuthority>)을 생성하는 로직 추가

   9-2. HelloAuthorityUtils 클래스에 코드 추가
   ➜ 데이터베이스에서 조회한 Role 정보 기반으로 User 의 권한 목록 생성하는 createAuthorities(List<String> roles) 메서드 추가

   ➜ 기존에는 application.yml 파일의 mail.address.admin 프로퍼티에 정의된 관리자용 이메일 주소를 기준으로 관리자 Role 추가했지만,
   이제는 그냥 데이터베이스에서 가지고 온 Role 목록(List<String> roles)을 그대로 이용해서 권한 목록(authorities)을 만들면 됨

🔊 여기까지 하면 회원가입 후, 로그인까지 성공 가능 !

✔ Custom AuthenticationProvider 사용하는 방법

➜ Spring Security 가 로그인 인증을 대신 해주지만 흐름의 이해를 위해 직접 만드는 인증 처리 로직임

1. HelloUserAuthenticationProvider 클래스 추가
   • AuthenticationProvider 인터페이스의 구현 클래스
     ⠀
   • AuthenticationProvider - Spring Security 에서 클라이언트로부터 전달받은 인증 정보를 바탕으로 인증된 사용자인지에 대한 인증 처리를 수행하는 Spring Security 컴포넌트

SSR 방식 Controller 구현 방식 참고
Ant Pattern 참고
XML Name Space 참고

---

🌈 느낀점

으악 적용하는게 넘나 어렵다.
양도 너무 많아서 이해도 어려워서 아직까지 블로그 어떻게 써야할지 감을 못잡는 중 ㅠㅠ
더 이해하고 주말까지 수정 / 보완 해야겠다.