[Spring Security] Spring Security의 개념과 동작 과정

📢 들어가기 전에

이번 포스팅에선 Spring Security가 무엇인지, 그리고 어떻게 동작하는 지에대해 알아본다.

인증, 인가, 보안 주체

Spring Security를 공부하기에 앞서 보안 용어에 대해 숙지해야한다.

인증(Authentication)
입증, 증명이라고도 한다.
암호화 같은 자격 증명을 검증하여 사용자 ID를 확인하는 것이다.
보통 이 인증은 사용자 이름(ID)와 암호(PW)로 수행된다.
인증은 단일부터 2단계, 다중 인증까지 거칠 수 있다.

인가(Authorization)
허가, 권한 부여라고도 한다.
인증(Authentication) 이후에 발생하는 과정으로, 인증된 사용자에게 시스템 액세스 권한을 부여하는 과정이다.

보안 주체(Principal)
Principal은 직역하면 '주된'이라고 해석된다.
즉, 보안 시스템이 작동되고 있는 애플리케이션에 접근하는 유저(주체)를 말한다.

🔑 Spring Security란?

Spring Security는 Spring 애플리케이션의 보안(인증과 권한, 인가 등)을 담당하는 스프링 하위 프레임워크이다.

🔑 Spring Security 동작 과정

위 이미지는 Spring Security의 동작과정을 나타낸 것이다.

이미지의 번호와 함께 아래 동작 순서를 따라가보자.

1. HTTP 요청 수신(Http Request) 및 AuthenticationFilter 통과

Spring Security는 일련의(연결된) 필터들을 가지고 있다.
요청(request)은, 인증(Authentication)과 권한부여(Authorization)를 위해 이 필터들을 통과하게 된다.
이 필터를 통과하는 과정은, 해당 요청과 관련된 인증 필터(인증 메커니즘/모델에 기반한 관련 인증 필터)를 찾을 때 까지 지속된다.

예)
HTTP Basic 인증 요청은 BasicAuthenticationFilter에 도달할 때까지 필터 체인을 통과한다.
HTTP Digest 인증 요청은 DigestAuthenticationFilter에 도달할 때까지 필터 체인을 통과한다.
로그인 form submit 요청은 UsernamePasswordAuthenticationFilter에 도달할 때까지 필터 체인을 통과한다.
X509 인증 요청은 X509AuthenticationFilter 등에 도달할 때까지 필터 체인을 통과한다.

이 필터 체인 중 인증을 담당하는 필터를 AuthenticationFilter라고 한다.
AuthenticationFilter는 사용자의 세션 ID(JSESSIONID)가 Security Context에 있는지 확인한다.
(여기서 Security Context란 아래의 모든 로직을 통과한 인증된 사용자의 정보(인증 개체)를 저장하는 공간이다.)
Security Context에 세션 ID가 없다면 아래 로직을 수행한다.

2. 사용자 자격 증명을 기반으로 AuthenticationToken 생성

인증 요청(request)이 관련 AuthenticationFilter에 의해 수신되면 수신된 요청에서 사용자 이름과 비밀번호를 추출한다.
이 추출된 사용자 자격 증명(credentials)을 기반으로 인증개체를 만들게 되는데, 이를 UsernamePasswordAuthenticationToken이라고 한다.

3. AuthenticationManager를 위해 생성된 AuthenticationToken 위임

만들어진 UsernamePasswordAuthenticationToken는 AuthenticationManager의 인증 메서드를 호출하는 데 사용된다.
여기서 AuthenticationManager는 단순한 인터페이스이며 실제 구현은 ProviderManager이다.

ProviderManager 에는 사용자 요청을 인증에 필요한 AuthenticationProvdier 목록이 있다.
ProviderManager는 제공된 각 AuthenticationProvdier를 살펴보고 전달된 인증 개체(UsernamePasswordAuthenticationToken)를 기반으로 사용자 인증을 시도한다.

4. AuthenticationProvider 목록으로 인증 시도

AuthenticationProvider는 제공된 인증 개체로 사용자를 인증한다.

아래는 프레임워크와 함께 제공되는 AuthenticationProvider의 일부이다.

• CasAuthenticationProvider
• JaasAuthenticationProvider
• DaoAuthenticationProvider
• OpenIDAuthenticationProvider
• RememberMeAuthenticationProvider
• LdapAuthenticationProvider

5. UserDetailsService / 6. UserDetails / 7. User

일부 AuthenticationProvider(ex. DaoAuthenticationProvider)는 사용자 이름(username)을 기반으로 사용자 세부 정보를 검색하기 위해 UserDetailService를 사용할 수 있다.
UserDetailsService는 DB에 저장된 회원의 비밀번호와 비교해 일치하면 UserDetails 인터페이스를 구현한 객체를 반환한다.

UserDetailsService는 Spring Security의 인터페이스이며 이를 UserDetailsService를 구현한 서비스는 직접 개발해야한다.(customize)

public interface UserDetailService {
    UserDetail loadUserByUsername(String username) throws UsernameNotFoundException;
}

즉, 위 코드의 loadUserByUsername 메소드를 오버라이딩해 DB와 비교하는 로직을 직접 짜야한다는 것이다.
DB 와 연결을 위한 VO로 User 따위를 개발 할 수 있다.

(이 부분은 나중에 따로 실습 포스팅에서 설명하겠다.)

8. AuthenticationException

AuthenticationProvider 인터페이스에 의해 사용자가 성공적으로 인증되면, 완전히 채워진 인증개체가 반환된다.
인증에 실패하면 AuthenticaionException이 발생한다.
AuthenticaionException이 발생하면 인증 메커니즘을 지원하는 AuthenticationEntryPoint에 의해 처리된다.

9. 인증 완료!

AuthenticationManager는 획득한 완전히 채워진 인증개체를 관련 인증 필터(AuthenticationFilter)로 다시 반환한다

10. SecurityContext에서 인증 개체 설정

관련 AuthenticationFilter는 향후 필터 사용을 위해 획득한 인증 개체를 SecurityContext에 저장한다.
SecurityContext는 1번 로직에서 설명 했었다. 이 SecurityContext에 인증개체가 있는지를 확인하고, 

인증 로직이 수행되거나 수행되지 않는다.

SecurityContextHolder.getContext().setAuthentication(authentication);

---

Spring Security의 동작 과정을 알아보았다.

위 설명만으로는 이해가 잘 안 될 수도 있다.

다음 포스팅에선 로그인/회원가입 예제를 통해 해당 동작과정을 더 자세히 알아보도록 하겠다!

https://medium.com/datadriveninvestor/authentication-vs-authorization-716fea914d55 

Authentication vs Authorization

https://spring.io/guides/topicals/spring-security-architecture

https://springbootdev.com/2017/08/23/spring-security-authentication-architecture