[Spring Security] 인증과 인가, Spring Security 구조 뜯어보기, 로그인 흐름 뜯어보기

스프링부트로 프로젝트 만드는 중인데

회원가입, 로그인, 로그아웃 기능 만들려면

스프링 시큐리티를 알아야함

​

전공과목으로 정보보안 과목 들었었는데

그 때 나왔던 인증, 인가가 여기서도 나옴

ㅋㅋㅋㅋㅋㅋㅋㅋㅋ

 

---

인증과 인가
authentication, authorization

 

인증 : 사용자의 신원을 입증하는 과정. 누구인지 확인하는 과정을 인증이라고 함

​

인가 : 특정 부분에 접근 권한 갖고 있나 아닌가 확인하는 과정.

(예를 들어 관리자 페이지는, 관리자만 들어갈 수 있음)

​

-> 이 일련의 과정을 걍 코드로 하려면 오래걸림

--> 스프링 시큐리티 쓰면 쉽게 구현 가능

 

 

---

스프링 시큐리티
Spring Security

 

스프링 시큐리티는 스프링 기반 애플리케이션 보안을 담당하는

스프링 하위 프레임워크임.

보안 관련 옵션들 제공

​

+ 애너테이션 설정도 쉬운편.

CSRF공격, 세션고정 공격 방어해주고

요청 header 보안 처리도 해줘서 개발자가 지어야 하는 부담을 크게 줄여줌.

​

​

​

스프링 시큐리티는 필터 기반으로 동작함

​

다양한 필터들이 있는데, 각 필터에서

인증, 인가 관련된 작업 처리함.

 

 

출처 : 스프링부트3 백엔드 개발자 되기 (골든 래빗)

왼쪽 세로로 길쭉한 필터 위에서 아래로 내려오는 순서인듯.

​

한 레이어씩 필터 작동 할때마다, 연결된 오른쪽 클래스를 거치며 실행함.

특정 필터는 제거하거나, 커스텀하는 등 설정도 가능.

​

여기서 회색으로 칠해진

UsernamePasswordAuthenticationFilter

FilterSecurityInterceptor

두개가 중요함

​

UsernamePasswordAuthenticationFilter:

id, pw가 넘어오면, 인증 요청을 위임하는 인증 관리자 역할

인증 성공하면, AuthenticationSuccessHandler를 실행

인증 실패하면, AuthenticationFailureHandler를 실행

​

FilterSecurityInterceptor :

권한 부여 처리를 위임, 접근 제어 결정을 쉽게하는 결정 관리자 역할

이 과정에서는 사용자는 이미 인증된 상태. 유효한 사용자인지도 알 수 있음.

-> 인가 관련 설정 가능.

​

 

---

근데 책을 한줄한줄 읽는데 이해 안되는게 너무 많음.

​

1. 사용자가 아이디, 비번 입력하면
HTTPServletRequest에 id, pw정보가 전달됨.

AuthenticationFilter가 넘어온 id,pw유효성을 검사
(여기서 말하는 유효성이라는게?)

2. 유효성 검사가 끝나고 UsernamePasswordAuthenticationToken을 
3. AuthenticationManager한테 넘겨주고, 

4. 그걸 다시 AuthenticationProvider한테 보낸다. 
(바로 Provider한테 주면 안됨?  Manager는 왜 거치는거야)

5. 사용자 아이디를 UserDetatilService에 보내고, 
UserDetailService는 사용자 아이디로 찾은 사용자의 정보를 UserDetails 객체로 만들어서
AuthenticationProvider한테 넘긴다.

6. DB에 있는 정보를 가져온다 
(이때 DB에 최초로 접근하는거 아닌지?)
(누가 가져와서 어디에 주는건데?)
7. 입력 정보랑 UserDetails의 정보 비교해서 실제 인증 처리를 한다. 
(입력 정보는 어디에 담겨있는데?)

8. 인증 완료되면, SecurityContextHolde에서 Authentication을 저장함.
인증 성공 여부에 따라서 AuthenticationSucessHandler, AuthenticationFailureHandler실행

 

(괄호) 안의 내용이 읽자마자 떠오르는 궁금증이었음.

​

​

​

​

1. (여기서 말하는 유효성이란?)

첨에 gpt한테 물어보니까 공백검사같은 유효성 검사 (주로 프론트에서 한다고 함)

DB에서 아이디로 사용자 조회 검사

라고 했음;;;;;

근데 저거 틀린말임.

​

DB를 조회하는건 AuthenticationProvider단계에서 함.

​

따라서 일반적으로 유효성검사 ? 안한다는거임!!!

걍 폼 유효성 검사 정도고, DB와는 무관. 걍 넘긴다고 함.

​

2. ( 왜 Manager를 거쳐서 Provider한테 가는가?)

AuthenticationManager는 중간 관리자 역할임.

내부에 여러개의 AuthenticationProvider를 갖고 있음.

전달받은 Authentication을 처리할 수 있는 Provider를 찾아서 위임하는것임.

​

왜? 스프링 시큐리티는 인증 방식이 여러개임.

ex. 폼 로그인용, 토큰 인증용, 소셜 로그인용...

종류가 많아서, 매니저가 판단, 분배하는 역할을 하는거임.

​

​

3. (이때 DB에 최초로 접근하는거 아닌지?)

맞음!

AuthenticationProvider가 UserDetailsService.loadUserByUsername()이

호출되는 시점에 일어남.

​

UserDetailService클래스는 개발자가 구현하는 클래스임.

​

그리고, 그렇게 조회한 정보고 UserDetails 객체 만들어서 넘겨주는것.

​

​

4. (누가 가져와서 어디에 주는건데?)

UserDetailsService가 DB에서 정보 가져와서, AuthenticationProvider한테 넘겨주고

인증 판단에 쓰이게 됨.

​

​

5. (입력 정보는 어디에 담겨있는데?)

처음에 유저가 로그인 시도하려고 입력했을 때

그걸 바탕으로 UserPasswordAuthenticationToken만들엇잖슴?

 

new UsernamePasswordAuthenticationToken(username, password);

 

 

여기에 담겨있음!!!

이 객체는 계속 Authentication타입으로 전달됨.

​

그거랑 UserDetailsService객체에 담긴 정보랑 비교하는거.

​

​

UserDetailsService객체에서 꺼내올때는

 

UserDetails userDetails = userDetailsService.loadUserByUsername(username);
String encodedPassword = userDetails.getPassword();

이렇게 꺼내서 비교.