스프링 시큐리티(Spring Security)란 무엇인가?

 

 

스프링 시큐리티(Spring Security)는 스프링 기반의 애플리케이션에서 보안 관련 처리를 담당하는 프레임워크입니다. 사용자 인증 및 권한 부여와 같은 보안 관련 기능을 간편하게 구현할 수 있습니다.

 

스프링 시큐리티는 다양한 인증 방식을 지원합니다. 폼 인증 방식, OAuth2.0, OpenID Connect 등을 지원하며, 이러한 인증 방식을 사용하여 사용자 인증을 간편하게 처리할 수 있습니다. 또한 스프링 시큐리티는 CSRF(Cross-site request forgery)와 XSS(Cross-site scripting)와 같은 웹 공격에 대한 방어 기능도 제공합니다.

 

스프링 시큐리티는 필터 체인(Filter Chain) 방식으로 동작합니다. 이는 HTTP 요청에 대한 처리를 순차적으로 처리하는 방식으로, 보안 처리도 이러한 필터 체인을 이용하여 처리됩니다. 예를 들어, 사용자 인증 처리를 담당하는 필터와 권한 부여 처리를 담당하는 필터가 존재하며, 이러한 필터들은 필요에 따라 추가하거나 제거할 수 있습니다.

 

스프링 시큐리티는 ACL(Access Control List) 기능을 지원합니다. 이는 객체에 대한 접근 권한을 부여하거나 제한하는 기능으로, 객체 단위로 권한을 관리할 수 있습니다.

 

아래는 접근권한 샘플소스입니다.

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

  @Autowired
  private UserDetailsService userDetailsService;

  @Override
  protected void configure(HttpSecurity http) throws Exception {
    http.authorizeRequests()
        .antMatchers("/admin/**").hasRole("ADMIN")
        .antMatchers("/user/**").hasAnyRole("ADMIN", "USER")
        .antMatchers("/").permitAll()
        .and().formLogin()
        .and().logout().logoutUrl("/logout")
        .and().csrf().disable();
  }

  @Autowired
  public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
    auth.userDetailsService(userDetailsService).passwordEncoder(passwordEncoder());
  }

  @Bean
  public PasswordEncoder passwordEncoder() {
    return new BCryptPasswordEncoder();
  }

}

 

위의 코드는 스프링 시큐리티를 사용하여 보안 설정을 구현한 예시입니다. 이 코드에서는 /admin/** 경로에 대해서는 ADMIN 권한이 있어야 접근할 수 있고, /user/** 경로에 대해서는 ADMIN 또는 USER권한 모두 접근할 수 있습니다