Spring Security

[Spring Security] JWT 로그인 흐름

[Spring Security] JWT 로그인 흐름

[Spring Security] 사용자 인증 흐름 정리

[Spring Security] 사용자 인증 흐름 정리

[Spring Security] AuthenticationSuccessHandler 적용해보기

[Spring Security] AuthenticationSuccessHandler 적용해보기

[Spring Security] UsernamePasswordAuthenticationFilter

[Spring Security] UsernamePasswordAuthenticationFilter

[Spring Security] Logout 설정

[Spring Security] Logout 설정

[Spring Security] 로그인 관련 security config 설정(Form)

[Spring Security] 로그인 관련 security config 설정(Form)

이번 포스트에서는 Spring Security를 사용하면서 JWT를 이용한 인증을 구현할 때 어떤 흐름으로 인증이 진행이 되고 토큰이 사용되고 발급되는지 알아 보려고 한다. 일단 Spring Security를 공부하면서 Form로그인에 대해서 많이 듣고 공부했을텐데 JWT로그인과 Form로그인은 Spring Security안에서 다르게 동작함을 인지해야 한다.

일반적인 id, password를 가지고 사용자 인증을 하는 Form 기반 로그인 방식은 Spring Security Config에서 http.formLogin();관련 설정을 한다. 이렇게 됐을 때 로그인 요청이 들어오면 자동으로 UsernamepasswordAuthenticationFilter로 빠지게 돼서 사용자 검증, 예외처리, Security Context에 저장 등 기능을 자동으로 수행해주어서 별도의 로그인 관련 서비스 로직이 불 필요하다. 하지만 JWT 기반 로그인 방식에서는 config 파일에서 http.formLogin(form -> form.disable()); 이렇게 form로그인 처리를 disable 하게 된다. 그러면 UsernamepasswordAuthenticationFilter가 동작을 하지 않게 되고 사용자 검증 ~ Security Context에 저장하는 커스텀 서비스 로직이 필요하게 된다. 정리하면 아래 그림과 같은 흐름을 타게 된다.

로그인이 성공하고 나면 헤더에 JWT를 담아서 return 해주게 되는데, 이후 사용자는 인증이 필요한 모든 요청에 대해서 헤더에 JWT토큰을 담고 서버로 요청을 보내게 된다. 서버에서는 헤더에 담긴 JWT가 유효한지에 대한 Filter를 만들어서 검증을 하면 된다.

[Spring Security] JWT 로그인 흐름

Spring Security에서 폼 기반 로그인(/login)요청을 처리할 때 UsernamePasswordAuthenticationFilter를 사용하게 되는데 이 필터에서 사용자 인증이 어떤 흐름으로 동작하는지 정리해보려고 한다. 아래 이미지는 로그인 요청의 흐름을 대략적으로 나타낸 것이다.

1. 클라이언트 요청

- 사용자가 로그인 폼에 username, password를 입력하고 로그인 요청을 보낸다. - 이 요청은 서버의 로그인을 담당하는 컨트롤러로 전송될 것이다.

2. UsernamepasswordAuthenticationFilter 동작

- 1번에서의 로그인 요청은 해당 필터가 가로챈다. - 이후 attemptAuthentication() 메소드를 통해 username과 password만 들어있는 AuthenticationToken 객체를 생성한 뒤 AuthenticationManager에게 요청을 위임한다.

3. AuthenticationManger (ProviderManager)

- 사용자의 자격 증명을 검증하는 역할을 한다. - AuthenticationManger는 인터페이스이기 때문에 이를 구현한 ProviderManager가 구현체로 사용된다. - ProviderManager는 여러 provider들을 필드로 가지고 있다. 내부 로직으로는 여러 provider 중 어떤 것이 현재 인증에 맞는지 확인 한 뒤 사용자 검증을 한다.

4. AuthenticationProvider

- ProviderManager에서 선택된 Provider에서 실제 사용자의 인증을 확인한다. - 여러 Provider들이 있지만 (RememberMeAuthenticationProvider, AnonymousAuthenticationProvider 등..) 보통 아이디와 패스워드로 인증을 요청할 때는 DaoAuthenticationProvider가 사용된다. - 해당 Provider 안에서 loadUserByUsername()메소드를 호출하여 UserDetailsService를 통해서 DB 또는 다른 저장소에서 사용자 검증을 한다.

[Spring Security] 사용자 인증 흐름 정리

Spring Security에서는 사용자 인증에 대한 처리가 UsernamePasswordAuthenticationFilter에서 자동으로 이루어지는데 해당 필터에서 사용자 인증이 성공이 된 이후 실행하고 싶은 핸들러를 직접 추가할 수 있다. 나 같은 경우는 사용자 인증 방식을 JWT로 할 것이기 때문에 사용자 인증 성공 이후 JWT를 생성해주는 핸들러를 추가해 볼 것이다. 전체적인 Flow는 아래와 같이 진행할 것이다.

JwtGenerateHandler

1. AuthenticationSuccessHandler 인터페이스를 상속 받은 JwtGenerateHandler 생성 2. 실행 시키고 싶은 코드 onAuthenticationSuccess() 메소드 안에 재 정의

SecurityConfig

1. handler 의존성 추가 2. .successHandler(jwtGenerateHandler) 추가

[Spring Security] AuthenticationSuccessHandler 적용해보기

스프링 시큐리티는 AbstractAuthenticationProcessingFilter를 사용자의 인증을 진행하는 기본 필터로 사용한다. UsernamePasswordAuthenticationFilter는 AbstractAuthenticationProcessingFilter를 확장한 클래스로서 Request에서 들어온 사용자의 아이디, 패스워드에 대한 인증을 수행한다. 물론 AuthenticationFilter를 커스텀으로 만들어서 직접 만든 커스텀 필터로 타게 할 수도 있다. 커스텀 필터를 만들 때는 attemptAuthentication() 메소드를 재 정의하면 된다.

사용자 인증을 진행하는 순서는 아래와 같다.

아래의 설명은 그림을 보면서 순서대로 읽으면 이해가 쉬울 것 이다.

사용자의 로그인 요청을 UsernamePasswordAuthenticationFilter가 가로챈다.

Matcher가 정상적인 로그인 요청인지 첫 번째로 검증 (ex. url 확인 등..)

username과 password만 담긴 인증 받지 않은 단순 객체 하나 생성

AuthenticationManager를 호출해서 이 객체에 대한 인증 진행

인증 성공시 DB에서 관리되는 유저 객체가 생성된다

새로운 로그인을 알리고 세션관련 작업들을 수행한다..

5번에서 생성된 객체를 SecurityContext에 저장된다.

로그인 인증 성공 이후 로직이 실행된다.

[Spring Security] UsernamePasswordAuthenticationFilter

Spring Security는 기본적으로 DefaultLogoutPageGeneratingFilter를 통해 로그아웃 페이지를 제공하며 GET /logout으로 접근이 가능하다. 로그아웃 실행은 기본적으로 `POST` /logout으로만 가능하며 csrf 기능을 비활성화 할 경우 또는 RequestMatcher 를 사용할 경우 GET, PUT, DELETE 모두 가능하다. 로그아웃 필터를 거치지 않고 MVC에서 커스텀으로 구현할 수 있으며, 로그인 페이지를 커스텀으로 구현했을 경우 로그아웃 또한 커스텀으로 구현해야 한다. 아래는 logout config 설정들이다.

로그아웃 할 때 별 다른 커스텀 기능이 없다면 따로 설정을 할 필요는 거의 없다.

만약 필요하다면 위와 같은 설정들을 해주면 된다.

logoutSuccessHandler

이 핸들러는 이름에서도 알 수 있듯이 logout을 성공하게 되면 실행되는 핸들러이다. 위에서는 로그아웃 시 /logoutSuccess로 리다이렉트 하도록 설정이 했다. (주의할점은 로그아웃을 할 경우 인증 상태가 사라지기 때문에 http.anyRequest().authenticaiton() 설정으로 인해 페이지 이동이 정상적으로 안될 수 있다. 그래서 http.requestMatcher("logoutSuccess").permitAll() 설정을 따로 해주었다.)

addLogoutHandler

설정 중 addLogoutHandler 설정이 있는데, 로그아웃을 할 때 Spring Security 내부적으로 동작하는 핸들러가 몇가지 있다. 그 핸들러들이 실행될 때 추가적으로 커스텀하여 실행시킬 수 있는 설정이다. 위의 코드에서는 로그아웃을 하게 되면 security context에서 authentication 객체를 삭제하고 security context를 초기화하는 코드를 넣었는데 이 작업은 원래 동작하는 핸들러중 SecurityContextLogoutHandler라는 핸들러에서 실행되는 코드임으로 따로 작성은 불필요하다. (위에서는 그냥 예시를 위해 작성한 코드이다.)

[Spring Security] Logout 설정

spring security 의존성을 추가한 뒤 기본적인 config 설정을 해보겠다.

spring Security 의존성 추가

위의 의존성을 추가하면 앞으로 모든 요청에 대하여 인증 여부를 검증하고, 인증이 승인되어야 자원에 접근이 가능하다. 인증 방식은 formLogin 방식과 httpBasic 방식 두 가지가 있다. httpBasic 방식은 Http 프로토콜에서 정의한 기본적인 인증 방식이다. (인증 받지 않은 사용자가 요청을 보내면 서버에서 401응답과 함께 인증을 요구하는 그런..) 이번 포스팅은 스프링 시큐리티에서 제공하는 formLogin 방식을 중점적으로 기본 설정을 알아보도록 하겠다. 그리고 기본적으로 로그인 페이지가 자동적으로 생성되어 렌더링되며, 해당 로그인 페이지에 로그인 할 수 있는 계정도 한개 자동으로 생성된다.

formLogin 관련 설정

아래는 formLogin관련 기본 config 설정들이다.

defaultSuccessUrl()

위의 코드에서 defaultSuccessUrl() 설정에 대해서 부가적으로 설명을 더하자면 String defaultSuccessUrl, boolean alwaysUse 이렇게 두 가지 매개변수를 받을 수 있다. 첫 번째 인자는 로그인을 성공했을 경우 타게 되는 URL이고, 두 번째 인자는 항상 해당 URL을 사용할 것이냐는 의미이다. 말로는 설명이 어려워서 아래 예를 통해 쉽게 이해가 가능하다.

[Spring Security] 로그인 관련 security config 설정(Form)