<aside> 💡

인증 (Authentication)

• 어떤 개체(사용자 또는 장치)의 신원을 확인하는 과정 ex. ID/PW 로그인 방식, SMS 인증, OAuth 2, Token 방식

인가 (Authorization)

• 어떤 개체가 어떤 리소스에 접근할 수 있는지 도는 어떤 동작을 수행할 수 있는지를 검증하는 것 ex. Role, Authority 기반 인가 처리 </aside>

<aside> 👉

웹 인증 방식 학습 자료

Spring Security 학습 자료

</aside>

REST API 를 위한 Spring Security 설정

1. build.gradle 의존성 추가

   implementation 'org.springframework.boot:spring-boot-starter-security'
   

2. SecurityConfig 설정 컴포넌트 생성

   <aside> <img src="/icons/question-mark_gray.svg" alt="/icons/question-mark_gray.svg" width="40px" />

   CORS (Cross Origin Resource Sharing)

   • 도메인 또는 포트가 다른 서버의 자원을 요청하는 방법
   • 하지만, 동일 출처 정책(same-origin policy) 때문에 CORS 같은 상황이 발생하면 외부 서버에 요청한 데이터를 보안 목적으로 차단한다.
   • Spring Security 는 모든 CORS 요청을 차단하므로, 이를 명시적으로 허용해줘야한다.
   • 동일 출처 정책 : “같은 출처에서만 리소스를 공유할 수 있다”라는 규칙을 가진 정책

   CSRF (Cross Site Request Forgery)

   • 사이트간 요청 위조 → 공격자가 사용자의 요청을 위조하여 공격하는 방법

   • CSRF 성공 조건

     1. 사용자가 이미 보안이 취약한 서버에 로그인 되어있는 상태이어야 한다.
     2. 쿠키 기반의 서버 세션 정보를 획득할 수 있어야 한다.
     3. 공격자는 서버를 공격하기 위해서 요청 방법에 대해 미리 파악하고 있어야 한다.

   • Token 인증 방식을 주로 활용하는 REST API 서버에 CSRF 공격을 성공하기는 어렵다. </aside>

   • WebSecurityConfig.java

   @Configuration
   @EnableWebSecurity
   public class WebSecurityConfig {
   		@Bean
       public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
   
           http.cors(withDefaults());
           // CSRF 보안 disable
           http.csrf(AbstractHttpConfigurer::disable);
   
   				// REST API 는 무상태성 이다. -> session : STATELESS
           http.sessionManagement((sessionManagement) -> sessionManagement.sessionCreationPolicy(SessionCreationPolicy.STATELESS));
   
   				// 모든 요청에 대해서 인증정보가 필요하다.
   				http.authorizeHttpRequests((authorizeRequests) ->
                   authorizeRequests
                           .anyRequest().authenticated()
           );
   
           return http.build();
   
       }
       
       // CORS 허용
       @Bean
       public CorsConfigurationSource corsConfigurationSource() {
           CorsConfiguration configuration = new CorsConfiguration();
   
           configuration.addAllowedOriginPattern("*");
           configuration.setAllowedHeaders(List.of("Authorization", "Content-Type"));
           configuration.setAllowedMethods(List.of("GET", "POST", "PUT", "PATCH", "DELETE"));
           configuration.setAllowCredentials(true);
   
           UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
           // 모든 API Endpoint 에 동일한 configuration 적용
           source.registerCorsConfiguration("/**", configuration); 
   
           return source;
       }
   }
   

ID/PW 기반 로그인 및 JWT 발급

로그인 및 JWT 발급 처리 순서

1. 클라이언트에서 /user/login (서버 로그인 API)으로 사용자 ID/PW 정보를 요청 본문에 넣어서 요청한다.
2. 요청이 들어오면 JwtAuthFilter 를 거친다. → JwtAuthFilter 는 UsernamePasswordAuthenticationFilter 이전에 위치해있다.
3. 로그인 요청에 대해서는 인증이 필요한 요청이 아니므로 토큰 정보가 필요하지 않다. → JWT 토큰 검증 Pass
4. 로그인 API에서 로그인 비즈니스 로직(로그인 요청 검증 및 JWT 생성)이 수행된다.
   • SpringSecurity 의 AuthenticationManager 를 사용하여 인증을 수행한다.

<aside> <img src="/icons/question-mark_gray.svg" alt="/icons/question-mark_gray.svg" width="40px" />

JwtAuthFilter 를 AuthenticationFilter(UsernamePasswordAuthenticationFilter) 이전에 위치시키는 이유

• 요청이 들어오면 인증 처리가 완료된 상태에서 Spring Security의 인가 로직이 실해되어야 한다.
• Spring Security 는 요청이 들어오면 인증 처리를 위해 AuthenticationFilter 를 만나게 된다.
• JwtAuthFilter 에서 인증 처리를 수행함으로서, AuthenticationFilter 를 대체하게 된다. → JwtAuthFilter를 AuthenticationFilter 이전에 배치하여 JWT 인증이 우선 수행되도록 합니다. </aside>

로그인 및 JWT 발급 구현

Spring Security 설정 파일 수정

• 로그인 요청에 대한 인증 무효화 및 JwtAuthFilter 위치 설정

• 로그인시, ID/PW 인증을 수행하기 위한 AuthenticationManager 빈 등록

  @Configuration
  @EnableWebSecurity
  public class WebSecurityConfig {
  		
  		// JWT 관련 처리를 수행하는 Util 클래스
  		private final JwtProvider jwtProvider;
  		
  		@Bean
      AuthenticationManager authenticationManager(AuthenticationConfiguration authenticationConfiguration) throws Exception {
          return authenticationConfiguration.getAuthenticationManager();
      }
  		
  		@Bean
      public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
  
          http.cors(withDefaults());
          http.csrf(AbstractHttpConfigurer::disable);
  
          http.sessionManagement((sessionManagement) -> sessionManagement.sessionCreationPolicy(SessionCreationPolicy.STATELESS));
  
  				// 로그인 요청에 대해서는 인증 권한이 필요 없음
  				http.authorizeHttpRequests((authorizeRequests) ->
                  authorizeRequests
  				                .requestMatchers("/user/login").permitAll()  
                          .anyRequest().authenticated()
          );
          
          // JwtAuthFilter 는 UsernamePasswordAuthenticationFilter 이전에 위치한다.
          http.addFilterBefore(new JwtAuthFilter(jwtProvider), UsernamePasswordAuthenticationFilter.class);
  
          return http.build();
  
      }
      
      @Bean
      public CorsConfigurationSource corsConfigurationSource() {...}
  }
  

JwtProvider 클래스 선언

JwtAuthFilter 생성

• JWT 관련 처리를 수행하는 JwtProvider 의 의존성을 주입받는다.
• 요청 헤더에있는 JWT 를 추출 후, 검증을 수행한다. → 로그인 요청에는 JWT가 존재하지 않기 때문에, 검증을 수행하지 않고 다음 필터로 넘어간다.