[20] Spring - Spring Security 사용방법

📁️ github 참고

https://github.com/kuk1157/spring-plus/commit/bd962480c81770d7e04057345d45c62bedfa9f60

feat: 레벨 2_9 Spring Security 관련 세팅파일 · kuk1157/spring-plus@bd96248

 

🛠️ Spring Security 사용방법

 

사용하게 된 목적)

- 특정 여러개의 API에서 회원정보가 필요한 경우에 현재 커스텀어노테이션으로 따로 세팅해서 가져오는 정보를 Spring Security로 해결 하기위함.

 

 

1. gradle 파일에 의존성 추가

// 2_9 Spring Security
implementation 'org.springframework.boot:spring-boot-starter-security'
testImplementation 'org.springframework.security:spring-security-test:6.0.0'

- 버전은 본인의 springboot 버전과 확인해야한다.

- 두번째줄은 Spring Security를 설정한 후 테스트코드에 대한 의존성으로 없어도 됨.

(필자는 테스트할 부분이있어서 넣은상태)

 

2. config  패키지에 WebSecurityConfig 파일 세팅

※ WebSecurityConfig.java

- Spring Security를 활용하여 JWT 기반 인증을 처리하는 보안 설정을 구성한 것입니다. 기본적인 웹 보안 설정 후,

JWT 필터를 통해 사용자의 요청에서 토큰을 검사하고 인증을 처리하도록 설계되어 있습니다. 
@EnableWebSecurity로 보안을 활성화, 인증이 필요한 URL과 필요없는 URL을 구분하여 접근을 제어하고 있습니다.

 

@Configuration
@EnableWebSecurity
@RequiredArgsConstructor
public class WebSecurityConfig {
    private final JwtRequestFilter jwtRequestFilter;
    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        // CSRF 설정
        http.csrf((csrf) -> csrf.disable());
        http.authorizeHttpRequests((authorizeHttpRequests) ->
            authorizeHttpRequests
                .requestMatchers(PathRequest.toStaticResources().atCommonLocations()).permitAll() // resources 접근 허용 설정
                .requestMatchers("/auth/**").permitAll()
                .requestMatchers("/error").permitAll() // 권장하지는 않는 방법
        );
        http.addFilterBefore(jwtRequestFilter, UsernamePasswordAuthenticationFilter.class);
        return http.build();
    }
    @Bean
    AuthenticationManager authenticationManager(AuthenticationConfiguration authenticationConfiguration) throws Exception {
        return authenticationConfiguration.getAuthenticationManager();
    }
}

WebSecurityConfig 코드해석)

1. SecurityFilterChain Spring Security에서 제공되는 보안필터체인이고 HttpSecurity로 리소스(url)별로 접근 권한을 설정

2. CSRF설정은 자바스크립트나 외부api연동할때 개발자도구에서 에러발생하게 되면 많이 보게되는 것이며, csrf공격을 방지하는 기능을 비활성화 한다. (전체 페이지에 대하여 403에러를 반환하고 있고,  REST API에서는 CSRF를 사용하지 않기에 비활성화)

3. authorizeHttpRequests - HTTP 요청에 대한 권한을 설정함.

4. requestMatchers(PathRequest.toStaticResources().atCommonLocations()).permitAll() 

- 정적 리소스에 대해서 인증없이 접근 허용함.(공통파일이나 css, 공통js, 외부 라이브러리 등)

5. requestMatchers("/auth/**").permitAll() - /auth/로 시작하는 모든 요청(api)는 인증 없이 접근허용(로그인,회원가입)

6. anyRequest().authenticated() - 그 외의 모든 요청은 인증을 하도록 진행

7. addFilterBefore: JwtRequestFilter - jwtRequestFilter라는 커스텀 필터(jwt토큰필터) 사용자 요청시 검사

8. UsernamePasswordAuthenticationFilter.class 
- Spring Security에서 기본적으로 제공하는 사용자이름,비밀번호 인증 필터. 

- jwtRequestFilter해당 커스텀필터보다 먼저 실행되도록 설정

9. AuthenticationManager - Spring Security에서 인증 처리를 담당하는 매니저

10. AuthenticationConfiguration - Spring Security의 인증 설정을 관리하는 클래스(이 클래스에서 Manager를 가져옴)

 

 

3. JwtRequestFilter 파일세팅

※ JwtRequestFilter.java

- JwtRequestFilter는 HTTP 요청에 포함된 JWT 토큰을 검증하고, 
토큰이 유효하면 사용자를 인증된 상태로 설정하여, 
이후의 요청에서 인증된 사용자가 접근하도록 처리하는 필터입니다. 
이를 통해 Spring Security에서 JWT 기반 인증을 손쉽게 구현할 수 있습니다.

@Slf4j
@Component
public class JwtRequestFilter extends OncePerRequestFilter {
    private final JwtUtil jwtUtil;
    @Autowired
    public JwtRequestFilter(JwtUtil jwtUtil) {
        this.jwtUtil = jwtUtil;
    }
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
        throws ServletException, IOException {
        String token = request.getHeader("Authorization");
        if (token != null && token.startsWith("Bearer ")) {
            token = token.substring(7);
            try {
                Long userId = jwtUtil.extractUserId(token);  // userId 추출
                if (userId != null && SecurityContextHolder.getContext().getAuthentication() == null) {
                    UsernamePasswordAuthenticationToken authentication =
                        new UsernamePasswordAuthenticationToken(userId, null, new ArrayList<>());
                    SecurityContextHolder.getContext().setAuthentication(authentication);
                }
            } catch (Exception e) {
                log.error("Internal server error", e);
                response.sendError(HttpServletResponse.SC_INTERNAL_SERVER_ERROR);
            }
        }
        chain.doFilter(request, response);
    }
}

JwtRequestFilter 코드해석)

1. OncePerRequestFilter - Spring Security에서 제공하는 필터 클래스
- doFilterInternal 메서드가 한 요청에 대해 한번만 실행되도록함.(필터중복실행 방지)

2. doFilterInternal  - 이 메서드는 요청이 필터 체인에 들어올때마다 호출됨.

- 필터는 요청을 가로채서 처리 후 chain.doFilter()를 통해(최하단) 필터 체인 계속 실행

3. SecurityContextHolder - Spring Security 보안 컨텍스트를 관리하는 객체 

4. UsernamePasswordAuthenticationToken - 사용자이름과 비밀번호 활용하는 토큰
- 회원 고유 id를 기반으로 인증 객체 생성중

5. SecurityContextHolder.getContext().setAuthentication(authentication)
- 인증된 사용자의 정보를 SecurityContextHolder 에 설정하여 후속 요청에서 사용자가 인증된 상태로 처리되도록 함.
(계속인증된상태로 접근가능)

6. chain.doFilter(request, response) - 토큰 검증이 끝난 후 필터 체인의 나머지 부분도 실행되도록 진행.

 

 

기타)

- JwtUtil 일부

- token을 활용해서 회원 id(고유번호) 추출 메서드

 

 

※ 주의할 점)

- jwt토큰 관련 예외는 다 해당 파일에서 진행해줘야함. (예시)

 

 

- 403에러에 대한 내용은 트러블슈팅 링크 참고

https://kuk1938.tistory.com/215

[19] Spring - Spring Security 트러블 슈팅

 

 

 

 

 

4. 실제 활용

※ Spring Security에서 제공하는 Principal 인터페이스 사용

 

- Controller에서 Principal 인터페이스를 통째로 담아서 보내고 있다.

 

- 인터페이스로 가져온 userId로 DB에 직접 조회하여 user객체를 활용

 

※ Principal 장점)

1) 간결하고 직관적
-  Spring Security의 인증 정보를 다룰 때 매우 직관적이고 간단합니다.

2) Spring Security와의 통합
-  Spring Security와 자연스럽게 통합되어 애플리케이션의 보안 상태를 안정적으로 관리할 수 있습니다.

3) 유연성
- Principal은 다양한 보안 인증 방식과 함께 사용할 수 있는 유연한 방법입니다.
- 예를 들어, OAuth2, SSO 등 다양한 인증 메커니즘을 사용할 때도 인증된 사용자 정보를 일관되게 처리할 수 있습니다.