Spring Boot Security는 웹 애플리케이션의 보안을 책임지는 강력한 도구로, 특히 인증(Authentication)과 권한 부여(Authorization)에 대한 확실한 구현이 가능합니다.
1. 인증 (Authentication)
1.1 인증의 개념은 사용자가 누구인지를 확인하는 과정입니다. Spring Security에서는 다양한 인증 메커니즘을 제공하며, 사용자 이름과 비밀번호, 소셜 로그인, API 키 등 여러 인증 수단을 쉽게 통합할 수 있습니다.
1.2 인증은 AuthenticationManager가 담당합니다. 일반적인 인증부터 특정 유형의 인증을 처리할 수 있도록 설계됩니다. 기본적으로 제공되는 DaoAuthenticationProvider를 사용하거나, 필요에 따라 커스텀 Provider를 구현할 수 있습니다.
1.3 인증 흐름 사용자가 로그인을 시도하면 Spring Security는 필터 체인을 통해 인증 요청을 처리합니다. 이 과정에서 입력된 자격 증명을 확인하고, 이후 유효성 검사를 진행합니다. 인증이 성공하면 사용자 정보를 저장하여 사용자에게 인증되었음을 알립니다.
2. 권한 부여 (Authorization)
2.1 권한 부여의 개념은 인증된 사용자가 특정 리소스에 접근할 수 있는지를 결정하는 과정입니다. Spring Security에서는 URL, 메서드, 도메인 객체에 대해 접근 제어를 설정할 수 있습니다.
2.2 @PreAuthorize와 @Secured를 사용한 권한 부여가 가장 많이 사용됩니다. @PreAuthorize는 메서드 실행 전에 접근 권한을 확인하며, 조건도 설정할 수 있습니다.
@PreAuthorize("hasRole('ADMIN')")
public void deleteUser(Long userId) {
// 사용자 삭제 로직
}ADMIN 권한을 가진 사용자만 deleteUser 메서드를 호출할 수 있도록 제한합니다.
2.3 URL 기반 권한 부여 설정 HttpSecurity를 사용해 URL에 대한 접근 권한을 설정할 수 있습니다. 관리자만 특정 URL에 접근하게 하는 코드를 예시로 확인해보겠습니다.
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.antMatchers("/admin/**").hasRole("ADMIN")
.antMatchers("/user/**").hasAnyRole("USER", "ADMIN")
.anyRequest().authenticated()
.and()
.formLogin();
}/admin 패턴으로 시작하는 모든 요청은 ADMIN 권한을 가진 사용자만 접근할 수 있게하고, /user/**은 USER와 ADMIN 권한을 가진 사용자가 접근 가능하게 설정한 코드입니다.
2.4 권한 계층을 정의할 수 있습니다. 상위 권한이 하위 권한을 포함하도록 할 수 있습니다.
@Bean
public RoleHierarchy roleHierarchy() {
RoleHierarchyImpl roleHierarchy = new RoleHierarchyImpl();
roleHierarchy.setHierarchy("ROLE_ADMIN > ROLE_USER");
return roleHierarchy;
}