[TIL] Spring Security

👍🏻 Spring Security

 - 자바 애플리케이션에 인증과 인가를 제공하는데 중점을 둔 프레임워크

 - 기존 서블릿 필터에서 인증처리 한 것 보다 맞춤형 요구사항을 충족시키기 위해 쉽게 확장 가능

---

📍 Security 관련 용어

💡 필터 Filter

  - 체인처럼 엮어져 있어 필터 체인이라고도 불리며 모든 요청은 이 필터 체인을 반드시 거쳐야함

  - Spring Security는 필터 기반으로 동작하기 때문에 Spring MVC와 분리되어 관리 및 동작

💡 접근 주체 Principal

 - 보호된 대상에 접근하는 유저

💡 인증 Authentication

 - 증명

 - 유저가 누구인지 확인하는 것

 - 통상 회원가입하고 로그인하는 것을 말함

💡 인가 Authorization

 - 허락

 - 유저에 대한 권한을 확인 및 허락하는 것

💡 세션 - 쿠키

 -  Spring Security는 세션 쿠키 방식으로 인증

(1) 유저가 로그인 시도 : Http Request
(2) AuthenticationFilter에서 부터 User DB 까지 들어감
(3) DB에 있는 유저라면 UserDetails로 꺼내서 유저의 Session 생성
(4) Spring Security의 인메모리 세션 저장도인 SecurityContextHolder에 저장
(5) 유저에게 session ID와 함께 응답을 내려줌
(6) 이후 요청에서는 요청 쿠키에서 JSESSIONID를 보고 검증 후 유효하면 Authentication 반환

---

📍 Spring Security 내부 구조

💡 SecurityContextHolder

 - SecurityContext를 제공하는 static 메소드 지원

💡 SecurityContext

 - 접근 주체와 인증에 대한 정보인 Authentication을 담고 있는 Context

💡 Authentication

 - Pricipal과 GrantAuthority를 제공함

 - 인증이 이루어지면 해당 Authentication이 저장됨

💡 GrantedAuthority

 - ROLEADMIN, ROLE_USER 등 접근하려는 유저가 가지고 있는 권한을 나타냄

 - prefix로 ROLE이 붙음

 - 인증 후 인가할 때 사용

 - 권한은 여러 개 일 수 있기 때문에 Collection<(GrantedAuthority)> 형태로 제공

---

📍 Spring Security 인증 처리 순서

 ① 요청이 들어오면 AuthenticationFilter를 거침 - UsernamePasswordAuthenticaionFilter

 ② 요청에 따른 Token 생성 - Authentication 인터페이스의 구현체

 ③ Token을 Authentication Manager에게 이 토큰이 올바른 유저인지 물어봄

 ④ Authentication Manager은 1개 이상의 Authentication Provider을 갖고 있음

      Provider은 Token 객체를 적절히 판단하여 인증처리를 하려고 함

 ⑤ Provider은 우리가 직접 구현한 서비스인 UserDetailsService 클래스에 해당 유저의 인증요청을 보내

     사용자 정보를 가져옴

 ⑥ User Details Service 클래스는 사용자 정보를 가져와 UserDetails를 반환

 ⑦ Provider은 UserDetailsService에서 반환된 UserDetails와 클라이언트가 제공한 토큰을 대조햇

     이용자가 정당한 사용권한을 가지고 있는지 확인 → Security Context에 저장