꾸준함

[16장] 전역 메서드 보안: 사전 및 사후 권한 부여

주의이 책은 Spring Security 5 버전을 기준으로 작성되었으므로, Spring Boot 3.X 버전에서는 일부 클래스가 더 이상 사용되지(deprecated) 않을 수 있습니다. 서론스프링 시큐리티는 앱이 HTTP 엔드포인트를 이용하지 않는 시나리오에도 문제없이 잘 쓸 수 있음메서드 수준에서 권한 부여를 구성하는 방법을 `전역 메서드 보안`이라고 지칭해당 방법으로 웹 애플리케이션과 웹이 아닌 애플리케이션의 권한 부여를 구성할 수 있음 웹이 아닌 애플리케이션에서 전역 메서드 보안은 엔드포인트 없이도 권한 부여 규칙을 구현할 수 있게 해 줌웹 애플리케이션에서는 엔드포인트 수준만이 아니라 앱의 다양한 계층에 권한 부여 규칙을 적용하는 유연성을 제공 1. 전역 메서드 보안 활성화전역 메서드 보안은 ..

주의이 책은 Spring Security 5 버전을 기준으로 작성되었으므로, Spring Boot 3.X 버전에서는 일부 클래스가 더 이상 사용되지(deprecated) 않을 수 있습니다. 서론암호화 서명으로 토큰을 검증하면 권한 부여 서버를 호출하거나 공유된 데이터베이스를 이용하지 않아도 리소스 서버가 토큰을 검증할 수 있다는 이점이 있음해당 토큰 검증 방식은 OAuth 2로 인증과 권한 부여를 구현하는 시스템에서 일반적으로 이용됨 1. JWT의 대칭 키로 서명된 토큰 이용토큰에 서명하는 가장 직관적인 방법은 대칭 키를 이용하는 것대칭 키 방식에서는 같은 키로 토큰에 서명하고 해당 서명을 검증할 수 있음이 방식은 속도가 빠르다는 장점이 있지만 인증 프로세스에 관여하는 모든 애플리케이션에 항상 키를 공유..

주의이 책은 Spring Security 5 버전을 기준으로 작성되었으므로, Spring Boot 3.X 버전에서는 일부 클래스가 더 이상 사용되지(deprecated) 않을 수 있습니다. 서론리소스 서버는 사용자 리소스를 관리하는 서버클라이언트에 리소스에 대한 접근을 허용하기 위해서는 리소스 서버에 올바른 액세스 토큰이 필요함클라이언트는 권한 부여 서버에서 액세스 토큰을 얻고 이를 HTTP 요청 헤더에 추가해 리소스 서버의 리소스를 호출함 리소스 서버 수준에서 토큰 검증을 구현하는 데는 여러 옵션이 있음첫 번째 옵션은 리소스 서버가 직접 권한 부여 서버를 호출해서 발행한 토큰이 맞는지 확인하는 것 두 번째 옵션은 권한 부여 서버가 토큰을 저장할 때 공유된 DB를 사용하는 것이며 해당 옵션에서는 리소..

주의이 책은 Spring Security 5 버전을 기준으로 작성되었으므로, Spring Boot 3.X 버전에서는 일부 클래스가 더 이상 사용되지(deprecated) 않을 수 있습니다. 서론권한 부여 서버의 역할은 사용자를 인증하고 클라이언트에 토큰을 제공하는 것클라이언트는 리소스 서버가 노출하는 리소스에 사용자를 대신해 접근하는 데 해당 토큰을 이용 OAuth 2 프레임워크는 토큰을 얻기 위한 여러 흐름을 정의이러한 흐름을 grant라고 하며 시나리오에 맞게 여러 그랜트 유형 중 하나를 선택할 수 있음권한 부여 서버의 동작은 선택한 그랜트 유형에 따라 달라짐 책이 출판되던 당시에는 Spring Security의 OAuth 2 종속성 지원이 중단된 상태였기 때문에, 이번 장에서는 Spring Secu..

주의이 책은 Spring Security 5 버전을 기준으로 작성되었으므로, Spring Boot 3.X 버전에서는 일부 클래스가 더 이상 사용되지(deprecated) 않을 수 있습니다. 1. OAuth 2 프레임워크OAuth 2를 권한 부여 프레임워크라고 부르는 경우가 많으며, 타사 웹사이트나 웹이 리소스에 접근할 수 있게 허용하는 것이 주목적OAuth 2는 특정 구현이나 라이브러리가 아니라는 점이 중요여태까지 다룬 HTTP Basic 인증 방식에는 두 가지 고려할 문제가 있음모든 요청에 자격 증명을 보내야 함사용자의 자격 증명을 별도의 시스템이 관리해야 함 모든 요청에 대한 자격 증명을 보내는 방식은 일반적으로 다음을 의미하기 때문에 바람직하지 않음네트워크를 통해 자격 증명이 자주 공유됨클라이언트가..

주의이 책은 Spring Security 5 버전을 기준으로 작성되었으므로, Spring Boot 3.X 버전에서는 일부 클래스가 더 이상 사용되지(deprecated) 않을 수 있습니다. 1. 애플리케이션에 CSRF (사이트 간 요청 위조) 보호 적용스프링 시큐리티에 기본적으로 CSRF 보호가 활성화되어 있음CSRF는 광범위한 공격 유형이며 CSRF에 취약한 애플리케이션은 인증 후 사용자가 웹 애플리케이션에서 원치 않는 작업을 실행하게 할 수 있음CSRF에 취약한 애플리케이션을 개발해서 사용자가 원치 않는 작업이 실행되는 상황은 누구도 원하지 않을 것 1.1 스프링 시큐리티의 CSRF 보호가 작동하는 방식CSRF 공격은 사용자가 웹 애플리케이션에 로그인했다고 가정하며 사용자는 공격자에게 속아서 작업 중..

주의이 책은 Spring Security 5 버전을 기준으로 작성되었으므로, Spring Boot 3.X 버전에서는 일부 클래스가 더 이상 사용되지(deprecated) 않을 수 있습니다. 서론스프링 시큐리티의 HTTP 필터는 일반적으로 요청에 적용해야 하는 각 책임을 관리하며 책임의 체인을 형성함필터는 요청을 수신하고 그 논리를 실행하며 최종적으로 체임의 다음 필터에 요청을 위임함 스프링 시큐리티는 맞춤 구성을 통해 필터 체인에 추가할 수 있는 필터 구현을 제공하지만 맞춤형 필터도 정의할 수 있음 1. 스프링 시큐리티 아키텍처의 필터 구현인증 필터는 요청을 가로채고 인증 책임을 AuthenticationManager에 위임함인증 이전에 특정 논리를 실행하려면 인증 필터 앞에 필터를 추가하면 됨스프링..

주의이 책은 Spring Security 5 버전을 기준으로 작성되었으므로, Spring Boot 3.X 버전에서는 일부 클래스가 더 이상 사용되지(deprecated) 않을 수 있습니다. 1. Matcher 메서드로 엔드포인트 선택요청에 권한을 부여할 때 관리자 역할이 있는 사용자만 엔드포인트를 호출할 수 있도록 mvcMatchers() 메서드를 이용할 수 있음Matcher 메서드로 요청을 참조할 때는 특정한 규칙부터 일반적인 규칙의 순서로 지정해야 하므로 anyRequest() 메서드를 mvcMatchers() 같은 더 특정적인 Matcher 메서드보다 먼저 호출할 수 없음 2. MVC Matcher 메서드로 권한을 부여할 요청 선택권한 부여 구성을 적용할 요청을 지정하는 일반적인 방법은 MVC 식..

주의이 책은 Spring Security 5 버전을 기준으로 작성되었으므로, Spring Boot 3.X 버전에서는 일부 클래스가 더 이상 사용되지(deprecated) 않을 수 있습니다. 1. Authorization권한 부여 (Authorization)는 식별된 클라이언트가 요청된 리소스에 접근할 권한이 있는지 시스템이 결정하는 프로세스스프링 시큐리티에서 애플리케이션은 인증 흐름을 완료한 뒤 요청을 권한 부여 필터에 위임함필터는 구성된 권한 부여 규칙에 따라 요청을 허용하거나 거부함 2. 권한과 역할에 따라 접근 제한사용자는 가진 권한에 따라 특정 작업만 실행할 수 있음권한은 사용자가 시스템 리소스로 수행할 수 있는 작업이며 권한의 이름은 객체의 getAuthority()가 String 형식으로 반..

주의이 책은 Spring Security 5 버전을 기준으로 작성되었으므로, Spring Boot 3.X 버전에서는 일부 클래스가 더 이상 사용되지(deprecated) 않을 수 있습니다. 개요인증 논리를 담당하는 것은 AuthenticationProvider 계층이며 여기에서 요청을 허용할지 결정하는 조건과 명령을 발견할 수 있음AuthenticationManager는 HTTP 필터 계층에서 요청을 수신하고 해당 책임을 AuthenticationProvider에 위임하는 구성 요소요청을 나타내는 방법을 명확히 이해하려면 Authentication 인터페이스부터 알아야 함그런 다음 인증이 성공한 후 요청 세부 사항이 처리하는 방법을 배울 수 있으며 SecurityContext 인터페이스와 스프링 시큐리티..