[Spring Security] 보안과 Spring Security

🚀 보안

⭐ 보안이란?

보안은 인류 역사와 문명에서 빼놓을 수 없는 중요한 개념이다.
석기시대부터 돈, 금 같이 중요한 자산을 지키기 위한 행위는 오늘날까지 이어진다.
당연히 IT 산업에서도 빠질 수 없는 개념이다.

개발자로서 보안이란
보안 공격으로부터 데이터, 비즈니스 로직 등을 보호하는 개념이다.
예를 들어 구글 검색 엔진 알고리즘은 공개하길 원치 않아서 엄청난 수준의 보안 조치를 해놨다고 한다.

 

보안은 비기능적 요구사항이다.

사용자는 우리에게 개발하면서 보안에 유의해달라고 부탁을 하진 않는다.
왜냐하면 기본적인 가정이기 때문인데요, 비즈니스 로직과 관계없이 우리에게 기대하는 사항이다.
따라서 개발 단계부터 보안을 항상 고려해야 한다.
퍼포먼스 테스팅 또는 프로덕션 배포 이후 보안을 고려하면 회귀 문제를 일으킬 수 있다.

 

웹에선 여러 종류의 보안이 있다.
SSL, 방화벽 등은 서버에서 고려할 보안이다.

이런 보안은 서버 관리자, devOps가 처리할 특정 보안 책임이다.
우리의 웹 애플리케이션 또는 비즈니스 로직, 데이터는 우리가 보호해야한다.

XSS/CSRF 공격, 취약한 인증 공격 등 산업에서 자주 발생하는 흔한 보안 공격이 존재한다.

모두 고려해야 되는 사항이다.

⭐ 보안의 중요성

그렇다면 보안은 왜 중요할까?
보안이 없으면 보안 취약점에 따라 데이터 침해, 웹 애플리케이션 내에 보안 공격이 일어날 수 있다.
이는 곧 데이터, 비즈니스 로직 손실로 이어지고 사용자로부터 브랜드에 대한 신뢰 이슈를 마주한다.

더 나아가 법적 문제까지 상대할 수 있다.
따라서 실제 서비스 시 보안은 필수이다.

 

이렇듯 보안은 매우 중요하므로

Spring Framework로 만든 웹 애플리케이션을 보호하기 위해서
Spring Security 프레임워크를 사용합니다.

다양한 보안 문제를 해결하기 위해서는
직접 보안과 관련된 코드를 작성하는 방법이 있다.
하지만 매일 새로 발견되는 수 백개의 보안 취약점을 상시 대기하며 모두 인지하고 코드를 작성하기엔

매우 많은 수고와 노력이 들어간다.

지금 이 순간에도 해커들은 더 많은 취약점을 탐색하고 있다.

---

🚀 Spring Security

Spring Security는 강력하고 사용자 정의가 가능한 인증 및 액세스 제어 프레임워크입니다. Spring 기반 애플리케이션 보안을 위한 표준입니다. 애플리케이션의 인증(Authentification)과 인가(Authorization)에 중점을 두고 있다.

HTTP 통신에서 고려할 보안은 Request이다.
Spring Security는 클라이언트가 보내는 모든 Request를 가로채 검증하는 절차를 거쳐

우리의 애플리케이션 전역을 보호한다.

 

Spring Security의 내부 동작 흐름은 다음과 같다.

Spring Security 내부 흐름(출처: fakerdeft)

• Spring Security Filters: 일련의 스프링 시큐리티 필터는 각각의 요청을 차단하기 위해 함께 작동하여 인증이 필요한지 여부를 식별한다. 인증이 필요한 경우 초기 인증 시 로그인 페이지 또는 기존 세부 정보 저장소를 사용하도록 사용자를 탐색한다.
• Authentication(인증): UsernamePasswordAuthenticationFilter와 같은 필터는 HTTP 요청에서 username/password를 추출한다. Authentication은 인증된 사용자 정보를 Spring Security 프레임워크 내에 저장하는 핵심 표준이기 때문이다.
• AuthenticationManager(인증 관리자): 필터로부터 요청을 받으면 사용자 세부 정보의 유효성 확인을 사용 가능한 인증 제공자에게 위임한다. 앱 내에 여러 개의 제공자가 있을 수 있으므로 사용 가능한 모든 인증 제공자를 관리하는 것은 AuthenticationManager의 책임이다.
• AuthenticationProviders(인증 제공자): AuthenticationProviders는 인증을 위해 사용자 세부 정보를 확인하는 모든 핵심 로직을 가지고 있다.
• UserDetailsManager/UserDetailsService: UserDetailsManager/UserDetailsService는 DB/스토리지 시스템에서 UserDetails를 검색, 생성, 업데이트 및 삭제하는 데 도움이 된다.
• PasswordEncoder: 해시 암호를 인코딩하는 데 도움이 되는 서비스 인터페이스이다. 그렇지 않으면 우리는 일반 텍스트 암호를 사용해야 할 수도 있다.
• SecurityContext: 요청이 인증되면 Authentication은 보통 SecurityContextHolder에 의해 관리되는 thread-local SecurityContext에 저장된다. 이는 이후에 동일한 사용자의 요청 중에 도움이 된다.

Spring Security는 위와 같은 과정으로 사용자를 검증한다.

---

🚀 결론

Spring Security는 모든 보안 시나리오를 참고한 실력있는 전문가들이 만들었고

계속해서 보안 취약점을 식별해 패치나 업데이트를 하고 있다.
개인이 보안과 관련된 코드를 직접 작성하는 것보다

Spring Security를 사용하면 최소한의 구성으로 애플리케이션을 보호할 수 있기 때문에

성능과 효율이 압도적일 것이다.

심지어 오픈소스 프레임워크라서 비용이 안 들어간다.

 

따라서 우리는 Spring Security를 사용해 웹 애플리케이션을 보호함으로써

비즈니스 로직에 좀 더 집중할 수 있다.

단, 기본적인 세팅만 제공하기 때문에 필요에 따라 커스텀하는 과정이 필요할 수도 있다.
필터나 인증 과정 커스텀을 통해 본인 서비스에 적합한 로그인을 구현할 수 있다.

다음엔 Spring Security를 사용해서 구체적으로 로그인 구현하는 내용에 대해서 기록한다.

---

📑 Reference

• https://docs.spring.io/spring-security/reference/index.html
• Udemy easybytes 강사님의 Spring Security 6 강의

---

🚀 로그인 구현 과정 인덱스

• 👉 [Spring Security] 보안과 Spring Security
• [Spring Security] 소셜 로그인 구현기 (로그인이란, JWT) - 1
• [Spring Security] 소셜 로그인 구현기 (OAuth, 로그인 구조) - 2