crushed-taro 님의 블로그

[Spring Security] Spring Security FilterChain 동작 원리 완전 해부

1. Security Filter

1. Security Filter 개요

1. Security Filter 주요 역할

• DefaultLoginPageGeneratingFilter
  1. FormLogin() 메서드 호출 시 양식을 기반으로 인증을 활성화하는 필터로 로그인된 사용자의 url에 사용자 이름과 암호를 제출하는 로그인 양식으로 기본 로그인 페이지를 생성하게 되며 실패한 로그인 시도에 대한 사용자 정의할 수 있는 오류 메시지를 포함하는 기능을 제공하고 있다.
  2. 로그인 요청 시 기본 로그인 페이지 생성을 담당하는 필터이다.

@Bean
public SecurityFilterChain configure(HttpSecurity http) throws Exception {

	http.formLogin().loginPage("/auth/login") // 해당 요청시 로그인 페이지로 이동됨
			.defaultSuccessUrl("/") // 로그인 성공시 해당 페이지로 이동함
			.failureUrl("/") // 로그인 실패시 해당 페이지로 이동됨
}

• BasicAuthenticationFilter
  1. 기본 인증을 처리하는 Spring security에서 제공하는 필터로 기본 인증은 사용자 자격 증명(사용자 이름 및 암호)이 인코딩되어 각 요청에 HTTP 헤더로 전송되는 간단한 인증 메커니즘이다.
  2. 인증이 필요한 요청을 가로채고 기본 인증 체계로 Authorization 헤더가 있는지 확인하여 헤더가 있는 경우 필터는 인코딩된 자격 증명을 추출하여 사용자 인증을 시도한다.해당 필터는 base 64 인코딩 형식으로 자격 증명을 전송하기 때문에 HTTPS를 사용한 양식 기반 인증을 하는 것이 더욱 안전하다.
  3. 실제 인증은 AuthenticationProvider에서 담당하며 AuthenticationManger에서 구성이 되어 있다. 이러한 방식으로 BasicAuthenticationFilter를 구성하게 되면 SpringSecurity는 요청이 있을 때 Authorization 헤더에서 인코딩된 자격 증명을 추출하여 사용자 인증을 시도할 때 기본 인증 프로세스를 처리하게 된다.
  4. 해당 필터는 base 64 인코딩 형식으로 자격 증명을 전송하기 때문에 HTTPS를 사용한 양식 기반 인증을 하는 것이 더욱 안전하다.

public class BasicAuthenticationCustomFilter extends BasicAuthenticationFilter{
// 로직 작성
}

http.addFilter(new BasicAuthenticationCustomFilter()) // 필터 커스텀

• RememberMeAuthenticationFilter
  1. 세션이 만료된 사용자에게 Remember-me 토큰을 기반으로 사용자를 자동으로 인증할 수 있도록 한다.
  2. 해당 필터를 구현하게 되면 RememberMeServices를 상속받아 구현해야 하며 토큰 유효성 검사 및 인증 설정을 해주어야 한다. PersistentTokenBasedRememberMeServices 구현이 사용되며 UserDetailService 구현이 필요하다.
  3. 해당 필터는 적절한 보안 조치가 필요하며 토큰은 애플리케이션의 보안을 보장하기 위해 안정하게 저장되고 적절하게 검증되어야 한다.

public class RememberMeAuthenticationCustomFilter extends RememberMeAuthenticationFilter {
// 로직 작성
}

http.addFilter(new RememberMeAuthenticationCustomFilter ()) // 필터 커스텀

• SecurityContextHolderAwareRequestFilter
  1. HttpServletRequest 에 액세스하는 컨트롤러 또는 기타 필터와 같은 후속 구성 요소에서 보안 컨텍스트를 사용할 수 있으며 해당 구성 요소가 보안 컨텍스트에서 현재 사용자의 인증 및 권한 부여 정보를 검색할 수 있다.
  2. 애플리케이션이 활성화 되어 있을 때 Security에 의해 자동으로 추가된다.
  3. HttpServletRequest 에 SecurityContextHolder를 설정하는 필터로 현재 보안 컨텍스트를 인식하도록 보장하는 Spring Security에서 제공하는 필터이다. 텍스트를 인식하도록 보장하는 Spring Security 에서 제공하는 필터로 사용자 요청에 대한 보안 컨텍스트를 설정하여 후속 처리 구성 요소가 보안 정보에 액세스할 수 있도록 한다.

public class SecurityContextHolderAwareRequestCustomFilter extends SecurityContextHolderAwareRequestFilter{
// 로직 작성
}

http.addFilter(new SecurityContextHolderAwareRequestCustomFilter()) // 필터 커스텀

• AnonymousAuthenticationFilter
  1. 익명 사용자에게 인증을 요구하지 않고 애플리케이션에 특정 부분을 액세스할 수 있도록 하는 filter이다.
  2. 익명 사용자의 인증 정보를 관리하는 객체는 AnonymousAuthenticationToke 구성되어 있으며 기본 설정으로 이름은 anonymous User 권한 및 역할로 Granted Authority 목록을 생성하여 ROLE_ANONYMOUS로 익명 사용자에게 할당된다.
  3. 인증 객체를 생성하여 다른 인증이 설정되지 않으면 SecurityContextHolder 에 설정하는 역할을 하게 된다.

public class AnonymousAuthenticationCustomFilter extends AnonymousAuthenticationFilter{
// 로직 작성
}

http.addFilter(new AnonymousAuthenticationCustomFilter ()) // 필터 커스텀

• sessionManagementFilter
  • 사용자의 요청에 따라 세션을 효과적으로 관리하기 위해서 사용하는 필터이다.
  • 사용자의 세션을 관리하는 필터로 새로운 세션을 생성하거나 무효화, 고정 세션 공격 보호 등 세션의 동시성 제어를 포함한 세션 정책을 시행하게 된다.

public class sessionManagementCustomFilter extends sessionManagementFilter{
// 로직 작성
}

http.addFilter(new sessionManagementCustomFilter()) // 필터 커스텀


http..sessionManagement() // 세션 설정을 해주겠다는 메소드
                .maximumSessions(1) // 동일 세션으로 1명의 사용자만 로그인 허용
                .expiredUrl("/") // 이미 로그인이 되어 세션 생성에 제한이 되었을 경우 리다이렉트 할 주소
                .maxSessionsPreventsLogin(false); // boolean 값으로 false : 이전 사용자의 강제 로그아웃 true : 신규 사용자의 로그인 실패

• ExceptionTranslationFilter
  1. 액세스가 거부될 때 인증 프로세스를 시작하는 역할을 하는 AuthenticatiojnEntryPoint의 인스턴스로 구성되어 있다. 인증 및 권한 부여 관련 예외를 포착하여 로그인 페이지로 리다이렉션을 하거나 오류를 반환하는 것과 같은 응답을 트리거하도록 되어 있다.
  2. 인증 및 권한 부여 프로세스 중에 발생하는 예외를 포착하여 이를 로그인 페이지로 리다이렉션 처리하거나 오류 응답을 반환하는 것과 같은 적절한 변환을 하는 역할을 하게 된다.

public class ExceptionTranslationCustomFilter extends ExceptionTranslationFilter{
// 로직 작성
}

http.addFilter(new ExceptionTranslationCustomFilter()) // 필터 커스텀

http.exceptionHandling()
    .accessDeniedPage("/access-denied") // Exception 발생시 이동할 페이지

• FilterSecurityInterceptor
  1. 보안 규칙을 기반으로 액세스 제어를 수행하는 SpringSecurity에서 제공하는 키 필터이다. 권한 부여 규칙을 적용하고 사용자가 특정 리소스에 액세스하거나 특정 작업을 수행할 수 있는지를 결정하게 된다. FilterSecurityInterceptor는 SpringSerucity 필터 체인에 있으며 보호된 리소스에 도달하기 전에 요청을 가로채게 된다.
  2. 정의된 보안 구성에 대한 요청된 url 및 관련 HTTP 메서드를 평가하여 사용자가 진행할 수 있는 권한이 있는지 확인한다.

public class FilterSecurityCustomInterceptor extends FilterSecurityInterceptor{
// 로직 작성
}

http.addFilter(new FilterSecurityCustomInterceptor()) // 필터 커스텀

http.authorizeRequests()
     .antMatchers("/public").permitAll() // 해당 요청은 모두가 사용이 가능함
     .anyRequest().authenticated()

[Spring Security] Spring Security 내부 구조 총정리 | 필터 체인부터 인증 과정까지 완벽 분석 - 2

1. Security Filter

1. Security Filter 개요

1. Security Filter 주요 역할

• 일련의 서블릿 필터 체인을 자동으로 구성한다.
• 일반적으로 웹 환경에서 브라우저가 서버에 요청을 보내게 되면 DispatcherServlet이 요청 받기 이전에 많은 servlet filter를 거치게 된다.

• SecurityContextPersistenceFilter
  1. 해당 필터는 Security에서 제공하는 중요한 필터로 요청 사이에 보안 컨텍스트를 유지하는 임무를 수행하게 된다. 인증된 사용자의 보안 컨텍스트가 여러 요청에서 유지되어 사용자의 인증 상태 및 부여된 권한을 유지하도록 한다.
  2. 애플리케이션에 요청이 들어오면 해당 요청을 가로채서 요청과 관련된 보안 컨텍스트가 있는지 확인하게 되며 존재하는 경우 요청 동안(session) SecurityContextHolder에 설정된다.
  3. 만약 비어있는 경우 새로운 보안 context를 생성한다.

http
            // ...
            .addFilterBefore(new SecurityContextPersistenceFilter(securityContextRepository), BasicAuthenticationFilter.class);
            // ...

• LogutFilter
  1. 인증된 사용자의 로그아웃 프로세스를 처리하는 Spring Security 필터이다. 로그아웃 요청을 가로채고 세션 무효화, 인증 지우기, 지정된 로그아웃 성공 url로 리다이렉션과 같이 사용자를 로그아웃하는데 필요한 작업을 수행한다.
     1. 사용자 인증 취소 : contextHolder에서 사용자 인증을 삭제하여 사용자를 로그아웃
     2. 사용자 세션 무효화 : http 세션과 연결된 경우 logoutFilter는 해당 세션을 무효로 하여 사용자가 세션 내에서 더 이상 인증되지 않도록 할 수 있다.
     3. 로그아웃 관련 작업 수행 : LogoutFilter는 쿠키 지우기, Remember-me 토큰 제거 또는 사용자 정의 로그아웃 핸들러 호출과 같은 추가 작업을 실행할 수 있다.

http
            // ...
            .logout()
                .logoutUrl("/logout") // Configure the logout URL
                .logoutSuccessHandler(logoutSuccessHandler) // Specify the LogoutSuccessHandler implementation
                .and()
            // ...

// Add the LogoutFilter to the filter chain
        http.addFilterBefore(new LogoutFilter(logoutSuccessHandler, new SecurityContextLogoutHandler()), LogoutFilter.class);

• UsernamePasswordAuthenticationFilter
  1. 사용자 이름과 암호를 포함하는 인증 요청 처리를 하기 위해 Spring security에서 제공하는 핵심 구성 요소이다. 요청을 가로채고 제공된 자격 증명을 사용해서 사용자의 인증을 시도하게 된다. 사용자 인증을 위해 AuthenticationManager에서 인증 절차를 진행하게 된다. 

public class UsernamePasswordAuthenticationCustomFilter extends UsernamePasswordAuthenticationFilter {
// 로직 작성
}

http.addFilter(new UsernamePasswordAuthenticationCustomFilter()) // 필터 커스텀

[Spring Security] Spring Security 내부 구조 총정리 | 필터 체인부터 인증 과정까지 완벽 분석

1. SpringSecurity architecture

1. Security architecture

1. Security 개념

• Autorization & Authentication인가를 위해서 Principal을 아이디로, Credential을 비밀번호로 사용하는 Credential 기반의 인증 방식을 사용하게 된다.
  • Authentication (인증) : 해당 사용자가 본인이 맞는지를 확인하는 절차
  • Autorization (인가) : 인증된 사용자가 요청한 자원에 접근 가능한지를 결정하는 절차
  • 접근 주체 (Principal) : 보호받는 Resource에 접근하는 대상
  • 비밀번호 (Credential) : Resource에 접근하는 대상의 비밀번호
• Spring security는 인증 절차를 거친 후에 인가 절차를 진행하게 되며 인가 과정에서 해당 리소스에 대한 접근 권한이 있는지를 확인하게 된다.
• UsernamePasswordAuthenticationToken
  1. RememberMeAuthenticationToken
  2. JwtAuthenticationToken
  3. OAuth2AuthenticationToken
• 해당 클래스는 Spring Security에서 제공하는 Authentication 인터페이스의 특정 구현이다. 사용자 이름과 암호를 자격 증명으로 포함하는 인증 요청을 나타낸다. 클래스는 사용자의 이름 및 암호 기반 인증을 수행할 때 사용자의 자격 증명을 캡슐화하는데 사용되며 일반적으로 인증 프로세스 중에 생성되며 인증을 위해 인증 관리자에게 전달된다. 해당 토큰은 인증을 위해 관리자에게 전달되며 일반적으로 사용자 데이터베이스 또는 기타 인증 메커니즘에 대해 자격 증명을 유효성 검사를 진행한다. 인증에 성공하면 인증된 Authentication 개체가 반환되며 이 개체는 securityContextHolder에서 설정하여 보안 컨텍스트 내에서 사용자의 인증을 설정할 수 있다. 이외로 다음과 같은 클래스를 활용할 수 있다.
• AuthenticationMananger
• 해당 인터페이스는 Authentication 객체 인증을 담당하는 Spring Security의 핵심 구성 요소로 사용자 자격 증명의 유효성을 검사하고 보안 컨텍스트 내에서 사용자의 id를 설정하는데 사용된다. AuthenticationManager 인터페이스의 기본 메소드는 authenticate(Authentication authentication)이다. 이 매서드는 Authentication 개체를 입력으로 사용하고 인증 프로세스를 수행하고 인증에 성공하면 Authentication 개체를 반환하고 인증에 실패하면 예외를 throw한다.
• ProviderManagerProviderManager는 복합 인증 공급자 역할을 진행하게 되며 즉, AuthenticationProvider 인스턴스 목록을 보유하고 주어진 인증 요청에 대하여 적절한 인증 객체를 찾기 위해 반복한다. ProviderManager의 Authenticate 메서드가 호출되면 해당 목록의 각 AuthenticationProvider에 인증 요청을 순차적으로 위임하며 각 공급자는 인증 요청에 따라 특정 인증 논리를 수행한다. 공급자가 요청을 성공적으로 인증하면 인증된 Authentication 개체를 반환하여 공급자가 요청을 인증할 수 없는 경우 null을 반환하게 된다. AuthenticationException을 발생시킨다.
• Spring Security의 AuthenticationManager 인터페이스 구현으로 인증 요청을 AuthenticationProvider 구현 체인에 위임하는 핵심 구성 요소이다.
• UserDetailsService
• 인증 프로세스 중에 사용자별 데이터를 로드하는 Spring Security의 핵심 구성 요소로 백엔드 데이터 소스에서 사용자 아이디, 암호 및 권한과 같은 사용자 세부 정보를 검색하는데 사용하게 된다. 인터페이스의 기본 메서드는 사용자 이름을 입력으로 사용하고 개체를 반환하는 UserDetailsService이다. 개체는 사용자의 세부 정보를 나타내며 인증 및 권한 부여 목적으로 사용된다. loadUserByUsername(String username)을 상속받아서 사용한다. 해당 예제에서 CustomUserDetailsService 클래스 인터페이스를 구현한다. userDetailsService 메서드 loaUserByUsername 일반적으로 데이터베이스 LDAP 서버 또는 기타 사용자 리포지토리와 같은 데이터 소스에서 사용자 세부 정보를 검색한다. userDetails 사용자가 발견되면 사용자의 세부 정보를 나타내는 개체를 만들고 반환한다. 인터페이스 UserDetails는 사용자 이름, 암호(인코딩됨) 및 GrantedAuthority 사용자의 권한이나 역할을 나타내는 객체 모음을 검색하기 위한 메서드를 제공한다.
• UserDetails
  • 메서드
    1. getUsername() : 사용자의 이름을 반환
    2. getPassword() : 사용자의 비밀번호를 반환한다.
    3. getAuthorities() : 사용자와 관련된 권한 또는 역할 나타내는 GrantedAuthority 객체 모음이다.
    4. isEnabled() : 사용자 계정의 활성화 또는 비활성화 여부를 나타낸다.
    5. isAccountNonExpired() : 사용자의 계정이 만료되었는지 여부를 나타낸다.
    6. isAuccountNonLocked() : 사용자 계정이 잠겨 있는지 여부를 나타낸다.
    7. iscredentialsNonExpired() : 사용자의 자격 증명(암호) 만료 여부를 나타낸다.
• 인터페이스는 핵심 사용자 정보를 나태는 객체로 사용자 이름, 암호, 권한 및 사용자의 관련 속성을 포함하여 사용자에 대한 세부 정보를 캡슐화 하여 관리한다. UserDetails 개체는 일반적으로 인증 중인 사용자를 나타내기 위해 인증 프로세스 중에 사용되며 userDetails 인터페이스에서 제공하는 몇 가지 중요한 특성 및 메서드이다.
• SecurityContextHolder
  • SecurityContextHolder의 주요 역할
    1. 보안 컨텍스트 : SecurityContextHolder는 현재 사용자의 보안 관련 정보를 보유하는 SecurityContext 객체를 유지한다.
    2. 보안 컨텍스트 모드 : securityContextHolder는 보안 컨텍스트를 관리하기 위해 다양한 모드를 지원한다.
       • MODE_THREADLOCAL : 이 모드에서 보안 컨텍스트는 ‘ThreadLocal’을 사용하여 현재 스레드에 바인딩 된다. 각 스레드에는 자체 보안 컨텍스트가 있으며 다른 스레드에서 코드를 실행할때 컨텍스트가 자동으로 전파된다.
       • MODE_INHERITABLETHREADLOCAL : MODE_THERADLOCAL과 유사하지만 보안 컨텍스는 원래 스레드에서 생성된 자식 스레드에 의해 상속된다.
    3. 보안 컨텍스트 설정 : 정적 SecurityContextHolder.setContext(SecurityContext context) 메서드를 사용하여 보안 컨텍스트를 설정하는 것이 가능하다. 일반적으로 이는 수동 또는 AuthenticationManager 또는 UserDetailsService와 같은 Spring Security 구성 요소에 의해 성공적인 인증 후에 수행된다.
    4. 보안 컨텍스트 검색: 현재 보안 컨텍스트는 SecurityContext 개체를 반환하는 정적 SecurityContextHolder.getContext() 메서드를 사용하여 액세스하는 것이 가능하다. SecurityContext에서 권한과 함께 인증된 사용자를 나타내는 Authentiacation 객체를 얻는 것이 가능하다.
    5. 보안 컨텍스트 지우기 : 보안 컨텍스트를 정리하면 정적 SecurityContextHolder.cleacontext() 메서드를 호출학 되며 이것은 일반적인 로그아웃 중 혹은 보안 컨테스트가 더 이상 필요하지 않을 때 수행된다.
• 애플리케이션 내에서 현재 사용자의 보안 컨텍스트에 대한 액세스를 제공하는 중앙 구성 요소이다. 인증된 사용자 세부 정보 및 부여된 권한과 같은 보안 관련 정보를 저장하고 액세스하는 컨테이너 역할을 하게 된다. Security 프레임워크의 일부이며 보안 컨텍스트와 상호 작용하는 정적 메서드를 제공한다.

[Spring Security] Spring Boot 보안 설정 방법 Spring Security 핵심 개념과 설정

1. Spring Security Architecture

1. Security Archtecture

1. Security Architecture

• 미니멈 버전
  • 사용자의 로그인 요청 → 이를 AuthenticationFilter가 가로챔.
  • AuthenticationFilter에서 사용자의 아이디와 비밀번호를 기반으로 UserPasswordAuthentiactionToken을 발행한다.
  • 생성된 AuthenticationManager에 전달
  • AuthenticationManager 등록된 AuthenticationProvider에 사용자 정보조회 요청
  • UserDetailsService에서 사용자의 정보를 조회하고 UserDetails에 정보를 저장하여 반환함
  • 조회시 입력된 username을 기반으로 조회함
  • AuthenticationProvider에 조회된 사용자의 username, password를 비교
  • 일치하는 경우 AuthenticationManager에 객체를 반환함
  • 해당 인증 정보를 SecurityContextHolder에 저장함
    
    
• 맥시멈 버전
  • 클라이언트의 form 기반 인증 요청을 AuthenticationFilter가 가로챈다.
    • 일반적으로 클라이언트의 요청은 Dispatcher Servlet에게 전달되기 전에 여러가지 Servlet Filter를 거친다.
    • Spring Security도 Serlvet Filter로서 동작하여 인증, 인가와 관련된 프로세스를 진행한다.
    • Spring Security에는 별도의 인증/인가 관련 서블릿 필터들을 엮어 놓은 필터 체인(SecurityFilterChian)이 존재한다.
    • 이 필터 체인들 중 인증을 담당하는 필터를 AuthenticationFilter라고 한다.
    • AuthenticationFilter는 사용자의 세션 ID(JSESSIONID)가 SecurityContext(인증된 사용자의 정보(인증 객체)를 저장하는 위치)에 존재하는지 확인한다. 존재하지 않는다면 다음 로직을 수행한다.
    • 사용자의 요청 종류(form submit, Basic, Digest 등)에 따라 해당 요청과 관련된 인증 필터를 만날 때 까지 필터 체인을 통과한다.
    • Form 기반의 submit 요청의 경우 UsernamePasswordAuthenticationFilter에 도달하게 된다.
  • 사용자 자격 증명을 기반으로 토큰 생성.
    • 인증 요청을 가로챈 AuthenticationFilter는 요청에서 사용자 이름(principal)과 비밀번호(credential)를 추출한다.
    • 추출한 사용자 자격 증명을 기반으로 인증 객체인 토큰을 생성한다.
    • 해당 방식은 UsernamePasswordAuthenticationToken 타입의 인증 객체를 생성한다.
  • 토큰을 AuthenticationManager에게 위임해 인증 메소드를 호출
    • AuthenticationManager는 단순 인터페이스에 불과하고, 실제 구현은 ProviderManager에 되어 있다.
    • 참고로 실질적인 인증/인가 작업은 대부분 ProviderManager가 한다.
  • ProviderManager는 AuthenticationProvider 리스트를 순회하며 인증을 시도함.
    • ProviderManager는 토큰을 순차적으로 AuthenticationProvider 리스트에 전달해 실제 인증 과정을 수행한다.
  • AuthenticationProvider는 토큰을 가지고 DB를 조회해 해당 사용자의 인증을 완료함.
    • 일부 AuthenticationProvider는 사용자 이름(principal)을 가지고 세부 정보를 검색하기 위해 UserDetailService를 사용할 수 있다.
    • 이 UserDetailService는 Spring Security가 제공하는 인터페이스로, 해당 로직은 개발자가 직접 작성해야 한다.
    • AuthenticationProvider는 인증 작업이 성공적으로 완료되면 완전히 채워진 인증 객체를 반환한다.
    • 그렇지 않으면 AuthenticationException 예외가 발생한다.
  • AuthenticationProvider는 인증이 완료된 인증 객체를 다시 AuthenticationFilter로 반환한다.
  • AuthenticationFilter는 인증이 완료된 인증 객체를 SecurityContext에 저장한다.
  • 추후 동일한 요청 시, 필터는 SecurityContext를 참조해 인증 객체의 존재 여부에 따라 인증 절차를 생략할 수도 있다.

1. Security 개요

1. Security

1. Security란?

• Spring Security는 스프링 기반 애플리케이션의 보안(인증과 권한, 인가 등)을 담당하는 스프링 프레임워크이다.
• Security는 인증과 권한에 대한 부분을 Filter의 흐름에 따라서 처리를 하게 되며 보안과 관련된 옵션을 체계적으로 제공해주기 때문에 개발자가 일일이 보안과 관련된 로직을 작성하지 않아도 되는 장점을 가지고 있다.
• 용어 정의
  1. Principal : 접근 주체(= 아이디)
     1. 사용자, 디바이스, 시스템 등의 행위를 하는 주체를 의미
  2. Credential : 자격 증명(=비밀번호)
  3. Secured Resource : 보안이 적용되는 리소스
     1. 일반적으로 메서드를 통해 보호가 된다.
  4. Authentication : 인증
     1. Principal이 믿을 수 있는지 파악하는 것으로 일반적으로 id/password를 검사하게 된다.
  5. Authorization : 인가
     1. 인증이 완료된 principal이 어떤 행위를 할 권한이 있는지 확인한다.
     2. ROLE_ADMIN, ROLE_GUEST, ROLE_MEMBER의 role에 기반해서 접근이 가능하다.
  6. Authority, Role : 권한
     1. 리소스에 대한 접근 제한. 모든 리소스는 접근 제어 권한이 존재한다.

2. Security 기능

1. 인증 및 접근 제어
2. 사용자의 인증과 접근 제어를 처리하여 인증되지 않는 액세스를 방지한다. 사용자의 자격 증명을 확인하고 권한 부여 및 접근 권한 검사를 수행하여 인가된 사용자만 보호된 리소스에 액세스가 가능하다.
3. CSRF(Cross-Site-Request Forgery) 방어
4. csrf 공격을 방지하기 위해 요청에 csrf 토큰을 추가하고, 이를 사용하여 유효한 요청인지 검증을 하게된다. 이를 통해 악성 사용자의 요청 위조를 방지할 수 있다.
5. XSS(Cross-Site Scripting) 방어 : XSS 공격을 방지하기 위해 출력 데이터의 이스케이프 처리를 제공하고 있으며 이를 통해 악성 스크립트가 삽입되는 것을 방지하고 사용자의 브라우저에서 안전하게 실행을 보장한다.
6. 세션 관리 : Spring Security는 세션 관리를 통해 세션 하이재킹 및 세션 고정 공격을 방지한다. 적절한 세션 id 생성, 세션 유효성 검사, 세션 제한 시간 설정 등의 기능을 제공하여 세션의 안전성을 강화한다.
7. 보안 헤더 설정 : Spring Security는 보안 헤더를 설정하여 다양한 보안 취약점을 방지한다. Content Security Policy (CSP), X-Content-Type-Options, X-XSS-Protection 등의 헤더를 설정하여 악성 스크립트 실행, mime 타입 스니핑을 방지한다.
8. 로그인 실패 및 계정 잠금 : Spring Security는 로그인 실패 횟수 제한, 계정 잠금등의 기능을 제공하여 무차별 대입 공격 및 계정 탈취를 방지한다.
9. 보안 취약점 패치 : 보안 취약점에 대한 업데이트와 패치를 지속적으로 제공하여 애플리케이션의 보안을 유지하고 개선한다. 취약점에 대한 경고 및 권장 사항을 제공하여 개발자가 적절한 조치를 취할 수 있도록 한다.

3. 웹 해킹 종류

• CSRF (Cross-Site Request Forgery)
  • 공격 흐름
    1. 피해자가 악의적인 웹사이트 방문
    2. 악의적인 웹사이트는 피해자의 브라우저에 실제로 수행되어야 하는 요청에 위조하여 피해자 사이트로 전송한다.
    3. 피해자의 브라우저는 위조된 요청을 실행하고, 이때 피해자의 세션 인증 정보가 함께 전송된다.
    4. 서버는 피해자의 세션 인증 정보를 확인하여 해당 요청을 처리하게 되어 악의적인 동작을 실행한다.
  • Security의 CSRF 공격 방지를 위한 기능
    1. CSRF 토큰 : CSRF 토큰을 포함해 위조된 요청인지 확인한다. 서버는 요청을 처리하기 전에 토큰의 일치 여부를 확인하여, 일치하지 않는 경우 요청을 거부
    2. CSRF 헤더 : X-CSRF-Token 이라는 이름의 헤더를 요청에 추가하여 CSRF 공격을 방지한다. 클라이언트는 서버에서 받은 토큰을 헤더에 포함해 요청 시 전송하며 서버는 이를 확인하여 변조를 확인
    3. CSRF 보호 설정 : CSRF 보호 설정을 활성화할 수 있으며 이를 통해 기본적인 CSRF 보호 기능을 제공하여, 토큰 생성, 토큰 저장소, 토큰 전송 방식 등을 구성할 수 있다.
• 악의적인 사용자가 피해자의 인증된 세션을 이용하여 비정상적인 요청을 실행하는 공격 형태이다. 공격자는 사용자가 이미 인증된 세션을 가지고 있을 때, 피해자가 의도하지 않은 동작을 수행하도록 요청을 위조한다.

• XSS
  • Stored Xss
  • 저장형 xss 공격은 보안이 취약한 서버에 악의적인 사용자가 악성 스크립트를 저장함으로써 발생하며 비정상적인 방법이 아닌 서버에서 제공하는 게시판, 사용자 프로필에 악의적으로 동작하는 스크립트가 그대로 저장된 후 클라이언트의 브라우저로 전달되어 문제가 발생하게 된다.
  • Refiected Xss
  • 요청 메시지에 입력된 스크립트 코드가 즉시 응답 메시지를 통해 출력되는 취약점으로 입력된 스크립트가 반사되는 것처럼 동작하기 때문에 붙은 이름이다.
• SQL INJECTION과 함께 웹상에서 가장 기초적인 취약점 공격 방법의 일종으로, 악의적인 사용자가 공격하려는 사이트에 스크립트를 넣는 기법을 말하며 공격에 성공하면 사이트에 접속한 사용자는 삽입된 코드를 실행하게 되어 의도하지 않은 행동을 수행하게 되거나 쿠키 및 세션 등 민감한 정보를 탈취당하게 된다. 크로스 사이트 스크립팅은 자바스크립트를 사용하여 공격하는 경우가 많으며 공격 방법이 단순하고 가장 기초적이나 많은 웹사이트가 xss에 대한 방어 조치를 하지 않아 공격받는 경우가 많으며 여러 사용자가 접근할 수 있는 게시판 등에 코드를 삽입하는 경우가 많으며 때에 따라서는 메일과 같은 매체를 통해서 전파된다. 공격 방법에 따라 명칭이 분류되며 다음과 같은 기법이 있다.

• 세션 하이제킹
  • 공격 흐름
    • 사용자 세션 생성됨
    • 사용자가 웹 애플리케이션이나 서비스에 로그인하면 서버에 세션이 생성된다. 서버는 고유한 세션 식별자(세션 쿠키)를 클라이언트 측에 저장되는 사용자 세션에 할당하게 된다.
    • 세션 토큰 교환
    • 사용자의 브라우저와 서버 간의 후속 상호 작용 중에 클라이언트는 요청을 인증하고 서버에 올바른 세션과 연결하기 위해 http 요청에 세션 식별자를 쿠키에 포함한다.
    • 세션 가로채기
    • 공격자는 네트워크 트래픽 스니핑, 맬웨어 사용 또는 중간자 공격 실행과 같은 네트워크의 취약성을 악용하여 세션 식별자를 가로채게 된다.
    • 세션 하이재킹
    • 공격자가 세션 식별자를 획득하면 이를 사용하여 사용자 세션을 가장 할 수 있으며 세션 식별자를 직접 사용하거나 자신의 브라우저 또는 스크립트에 삽입하여 대상 세션에 대한 무단 액세스를 얻을 수 있다.
    • 하이재킹된 세션 악용
    • 공격자는 하이재킹된 세션을 제어하여 손상된 세션과 관련된 권한 및 기능에 따라 다양한 악의적인 작업을 수행할 수 있다. 여기에는 민감한 정보 도용, 무단 거래 수행 또는 사용자 계정 설정 조작이 포함됨
• 세션 하이재킹 또는 세션 도용이라 불리는 공격은 공격자가 컴퓨터 네트워크에서 사용자의 세션을 장악하려고 시도하는 보안 공격이다. 이 공격에서 공격자는 인증 및 세션 관리에 사용되는 세션 토큰 또는 세션 식별자를 가로채고 조작하여 사용자 세션에 대한 무단 액세스 권한을 얻는 것을 목표로 한다.

• 세션 고정공격
  • 공격 흐름
    • 초기 세션 식별자
    • 공격자는 세션 식별자 또는 토큰을 생성하고 사용자가 이를 인증에 사용하도록 속인다.
    • 사용자 인증
    • 사용자가 악성 링크를 클릭하여 웹 애플리케이션 또는 서비스에 액세스한다. 응용 프로그램은 공격자가 제공한 세션 식별자를 합법적인 세션으로 받아들인다.
    • 세션 하이재킹
    • 사용자가 인증되면 공격자는 고정된 세션 식별자를 악용하여 사용자 세션에 대한 무단 액세스 권한을 얻을 수 있다. 네트워크 트래픽을 가로채거나 XSS 취약점을 활용하는 등 다양한 방법을 사용하여 세션을 하이재킹할 수 있다.
    • 하이재킹된 세션 악용
    • 공격자는 세션을 제어하여 사용자를 대신해 악의적인 활동을 수행하게 됨
• 공격자가 미리 결정된 세션 식별자 또는 세션 토큰을 사용하도록 사용자를 속이는 보안 공격 유형이다. 이 공격은 사용자가 공격자가 제어하는 세션으로 인증하도록 강제하여 사용자의 브라우저와 웹 응용 프로그램 간의 신뢰를 악용하는 것이다.
• Content Security Policy (CSP)
• 콘텐츠 보안 정책은 xss 및 데이터 주입과 같은 다양한 유형의 공격을 완화하고 보호하기 위한 웹 애플리케이션에서 구현하는 보안 메커니즘으로 csp는 웹 개발자가 웹 페이지를 로드하고 실행할 수 있는 콘텐츠를 지정하는 일련의 규칙 또는 정책을 정의하고 시행할 수 있도록 해주는 http 헤더이다.

• X-Content-Type-Options
  1. "nosniff": 이 지시문이 "nosniff" 값이 있는 헤더에 포함된 경우(예: "X-Content-Type-Options: nosniff") 브라우저가 선언된 콘텐츠 유형을 엄격하게 준수하도록 지시합니다. 응답하고 콘텐츠 유형 스니핑을 수행하지 않습니다. 서버가 콘텐츠 유형을 지정하면 브라우저는 이를 신뢰할 수 있는 값으로 취급하고 콘텐츠 유형을 추측하려고 시도하지 않습니다.
  2. "none": 이 지시문은 더 이상 사용되지 않으며 사용해서는 안 됩니다. 이전에는 MIME 스니핑을 완전히 비활성화하는 데 사용되었습니다. 그러나 이제 동일한 효과를 얻기 위해 "nosniff" 지시어를 사용하는 것이 좋습니다.
• 브라우저 응답의 콘텐츠 유형을 해석하는 방법을 제어하기 위해 웹 서버에서 사용할 수 있는 http 응답 헤더이다. 브라우저가 선언된 콘텐츠 유형에 의존하는 대신 응답 콘텐츠 유형을 추측하고자 할 때 발생하는 mime 스피닝 공격에서 보호하는 데 도움이 되는 보안 헤더이다.

• X-XSS-Protection
  1. "0": 브라우저에서 XSS 보호 기능을 비활성화합니다. 브라우저는 XSS 공격을 감지하거나 차단하려고 시도하지 않습니다.
  2. "1": 브라우저에서 XSS 보호 기능을 활성화합니다. 브라우저가 잠재적인 XSS 공격을 감지하면 악성 스크립트를 차단하고 페이지를 실행하지 않고 렌더링하려고 시도합니다.
  3. "1; mode=block": 브라우저에서 XSS 보호 기능을 활성화하고 잠재적인 XSS 공격이 감지되면 페이지가 차단되도록 합니다. 이 지시문은 더 엄격하며 공격이 의심되는 경우 페이지가 렌더링 되지 않도록 합니다.
• XSS-Protection은 최신 웹 브라우저에 제공하는 내장 xss 보호 메커니즘을 활성화 또는 비활성화하기 위해 웹 서버에서 사용할 수 있는 HTTP 응답 헤더이다. XSS 공격은 공격자가 악의적인 스크립트를 웹 페이지에 삽입한 뒤 다음 다른 사용자의 브라우저 컨텍스트에 실행되어 잠재적으로 무단 액세스 또는 데이터 도난으로 이어질 때 발생한다. X-XSS-Protection 헤더를 통해 웹 개발자는 브라우저의 XSS 보호 기능 동작을 제어할 수 있으며 다음과 같은 방식을 사용한다.

• 스니핑
  • 스니핑 종류
    • 패킷 스니핑
    • 개별 네트워크 패킷 캡처와 검사가 포함되며 네트워크 인터페이스를 무차별 모드로 설정하면 스니퍼 도구 또는 소프트웨어가 네트워크의 다른 장치로 향하는 패킷을 캡처하여 사용자가 포함된 데이터를 분석
    • 이더넷 스니핑
    • 이더넷 스니핑은 특히 이더넷 네트워크를 통한 데이터 전송의 기본 단위인 이더넷 프레임 캡처 및 분석에 중점을 둔다. 네트워크 모니터링 또는 보안 분석에 활용
    • 무선 스니핑
    • wi-fi 스니핑이라고 하는 무선 스니핑에는 무선 네트워크 트래픽 캡처 및 분석이 포함된다. 올바른 도구와 기능을 사용하면 공격자 또는 보안 전문가가 장치 간의 무선 통신을 가로채 무선으로 전송되는 패킷을 캡처한다.
    • 네트워크 트래픽
    • 네트워크 통신 패턴, 흐름 및 콘텐츠 모니터링 및 검사가 포함된다. 패턴을 분석하고 이상을 식별하여 보안 전문가는 네트워크 내에서 잠재적인 위협이나 비정상적인 동작을 탐지한다.
• 컴퓨터 네트워크 및 보안의 맥락에서 스니핑은 분석 또는 승인되지 않는 목적을 위해 네트워크 트래픽을 가로채고 캡처하는 행위를 이야기한다. 여기서 데이터 패킹이 네트워크를 통과할 때 캡처하여 공격자나 승인된 엔티티가 패킷의 내용을 검사 할 수 있도록 한다. 네트워크 스피닝은 이를 수행하는 개인의 상황과 의도에 따라 합법적일 수 있고 악의적일 수 있다.