인증
인증은 사용자가 누구인지 확인하는 단계. 인증의 대표적인 예로 '로그인'이 있으며 로그인은 DB에 등록된 id와 pw를 사용자가 입력한 id와 pw와 비교해서 일치 여부를 확인하는 과정이다. 로그인에 성공하면 애플리케이션 서버는 응답으로 사용자에게 토큰을 전달하고 실패한 사용자는 토큰을 전달받지 못해 원하는 리소스에 접근할 수 없다.
인가
인가는 인증을 통해 검증된 사용자가 애플리케이션 내부의 리소스에 접근할 때 사용자가 해당 리소스에 접근할 권리가 있는지 확인하는 과정이다. 일반적으로 사용자가 인증 단계에서 발급받은 토큰은 인가 내용을 포함하고 있으며, 사용자가 리소스에 접근하면서 토큰을 함께 전달하면 애플리케이션 서버는 토큰을 통해 권한 유무 등을 확인해 인가를 수행한다.
접근 주체
접근 주체는 말 그대로 애플리케이션의 기능을 사용하는 주체를 의미한다.
접근 주체는 사용자가 될 수도 있고, 디바이스, 시스템이 될 수도 있다. 인증 과정을 통해 접근 주차게 신뢰할 수 있는지 확인하고, 인가 과정을 통해 접근 주체에게 부여된 권한을 확인하는 과정을 거친다.
스프링 시큐리티의 동작 구조
스프링 시큐리티는 서블릿 필터를 기반으로 동작하며, DispatcherServlet 앞에 필터가 배치돼 있다.
필터 체인은 서블릿 컨테이너에서 관리하는 ApplicationFilterChain을 의미한다. 클라이언트에서 애플리케이션으로 요청을 보내면 서블릿 컨테이너는 URI를 확인해서 필터와 서블릿을 매핑한다. 스프링 시큐리티는 사용하고자 하는 필터체인을 서블릿 컨테이너의 필터 사이에서 동작시키기 위해 DelegationFilterProxy를 사용한다.
DelegationFilterProxy는 서블릿 컨테이너의 생명주기와 스프링 애플리케이션 컨텍스트 사이에서 다리 역할을 수행하는 필터 구현체이다. 표준 서블릿 필터를 구현하고 있으며, 역할을 위임할 필터체인 프록시를 내부에 갖고있다.
필터체인 프록시는 스프링 시큐리티에서 제공하는 필터로서 보안 필터체인을 통해 많은 보안 필터를 사용할 수 있다.
보안 필터체인은 WebSecurityConfigurerAdapter 클래스를 상속받아 설정할 수 있다.
여러 보안 필터체인을 만들고 싶다면 WebSecurityConfigurerAdapter 클래스를 상속받은 클래스를 여러 개 생성하면 된다. 이때 WebSecurityConfigurerAdapter 클래스에는 @Order 어노테이션을 통해 우선순위가 지정돼 있는데, 2개 이상의 클래스를 생성했을 때 똑같은 설정으로 우선순위가 100이 설정돼 있으면 예외가 발생하기 때문에 상속받은 클래스에서 @Order 어노테이션을 지정해 순서를 정의하는 것이 중요하다.
별도의 설정이 없다면 스프링 시큐리티에선 SecurityFilterChain에서 사용하는 필터중 UsernamePasswordAuthenticationFilter를 용해 인증을 처리한다.
- 클라이언트로부터 요청을 받으면 서블릿 필터에서 SecurityFilterChain으로 작업이 위임되고 그중 UsernamePasswordAuthenticationFiilter에서 인증을 처리한다.
- AuthenticationFilter는 요청 객체에서 username과 password를 추출해서 토큰을 생성한다.
- 그러고 나서 AuthenticationManager에게 토큰을 전달한다. AuthenticationManager는 인터페이스이며, 일반적으로 사용되는 구현체는 ProviderManager이다.
- ProviderManager는 인증을 위해 AuthenticationProvider로 토큰을 전달한다.
- AuthenticationProvider는 토큰의 정보를 UserDetailsService로 전달한다.
- UserDetailsService는 전달받은 정보를 통해 DB에서 일치하는 사용자를 찾아 UserDetails 객체를 생성한다.
- 생성된 UserDetails 객체는 AuthenticationProvider로 전달되며, 해당 Provider에서 인증을 수행하고 성공하게 되면 ProviderManager로 권한을 담은 토큰을 전달한다.
- ProviderManager는 검증된 토큰을 AuthenticationFilter로 전달한다
- AuthenticationFilter는 검증된 토큰을 SecurityContextHolder에 있는 SecurityContext에 저장한다.
JWT
- JWP는 당사자 간에 정보를 JSON형태로 안전하게 전송하기 위한 토큰이다.
- JWT는 URL로 이용할 수 있는 문자열로만 구성돼 있으며, 디지털 서명이 적용돼 있어 신뢰할 수 있다.
- JWT는 주로 서버와의 통신에서 권한 인가를 위해 사용된다.
- URL에서 사용할 수 있는 문자열로만 구성돼 있기 때문에 HTTP 구성요소 어디든 위치할 수 있다.
JWT의 구조
JWT는 점('.')으로 구분된 세 부분으로 구성된다.
헤더(header)
검증과 관련된 내용을 담고 있으며 두 가지 alg와 type 속성 정보를 가지고 있다.
- alg 속성에선 해싱 알고리즘을 지정하고 보통 SHA256 또는 RSA를 사용한다.
- 토큰을 검증할 때 사용되는 서명 부분에서 사용된다.
- type속성에는 토큰의 타입을 지정한다.
내용(Payload)
토큰에 담는 정보를 포함한다. 이곳에 포함된 속성들은 클레임이라고 하며, 크게 3가지로 분류된다
- 등록된 클레임
- 공개 클레임
- 비공개 클레임
등록된 클레임은 필수는 아니지만 토큰에 대한 정보를 담기 위해 이미 이름이 정해져 있는 클레임을 뜻한다.
- iss : JWT의 발급자 주체를 나타낸다. iss의 값은 문자열이나 URI를 포함하는 대소문자를 구분하는 문자열이다.
- sub : JWT의 제목이다
- aud : JWT의 수신인이다. JWT를 처리하려는 각 주체는 해당 값으로 자신을 식별해야 한다. 요청을 처리하는 주체가 'aud' 값으로 자신을 식별하지 않으면 JWT는 거부된다.
- exp : JWT의 만료시간이다. 시간은 NumericDate형식으로 지정해야 한다
- nbf : 'Not Before'를 의미한다
- iat: JWT가 발급된 시간이다.
- jti : JWT의 식별자이다. 주로 중복 처리를 방지하기 위해 사용된다.
공개 클레임은 키 값을 마음대로 정의할 수 있다. 다만 충돌이 발생하지 않을 이름으로 설정해야 한다.
비공개 클레임은 통신 간에 상호 합의되고 등록된 클레임과 공개된 클레임이 아닌 클레임을 의미한다.
서명(Signiture)
인코딩된 헤더, 인코딩된 내용, 비밀키, 헤더의 알고리즘 속성값을 가져와 생성된다.
토큰의 값들을 포함해서 암호화하기 때문에 메시지가 도중에 변경되지 않았는지 확인할 때 사용된다.