[Spring] Spring Security이란

Server🧤/SpringSecurity

[Spring] Spring Security이란

yujindonut 2023. 7. 12. 12:05

728x90

Spring Security 란

인증과 인가라는 개념을 최대한 쉽고 유연하게 구현할 수 있도록 만들어진 Framework

Spring을 사용한다면 사실상 최선의 Security Framework
Web 기반 Application에 보안적인 제한을 추가하기 위해 사용하는 Security Framework 중에 하나
Rest API endpoint, mvc url, 정적 리소스와같은 리소스들에 접근하려는 요청의 인증을 책임지는 것.
Spring 생태계와 호환성이 높고 커스텀이 매우 쉽다.

인증

사용자가 누구인지 확인하는 절차. 즉, "당신은 누구입니까?"를 확인

여기서 문제점이 발생한다.

이후에 유저가 UserA라는 것을 어떻게 증명할 수 있을까?

방법 1 : 모든 요청마다 나의 ID와 패스워드를 포함시켜서 요청한다.

방법 2 : 나의 ID와 패스워드를 서버에 주고 그 응답으로 아무나 해독이 불가능한 key를 받는다. 그 key를 모든 요청에 포함해서 보낸다.

인가

인증 이후에 리소스에 대한 권한 통제를 의미. 즉, "당신의 권한은 무엇입니까? 당신은 무엇을 할 수 있습니까?"를 확인한다.

클라이언트가 요청한 작업이 허가된 작업인지를 확인하는 절차

예 ) 일반 사용자는 관리자 페이지에 접속이 불가능해야함

Tymeleaf 실습 예제

<html
  lang="ko"
  xmlns:th="http://www.thymeleaf.org"
  xmlns:sec="http://www.thymeleaf.org/extras/spring-security"
>
<body>
<div th:fragment="nav">
  <nav class="navbar navbar-expand-lg navbar-dark bg-primary">
    <div class="container-fluid">
      <div class="collapse navbar-collapse" id="navbarSupportedContent">
        <ul class="navbar-nav me-auto mb-2 mb-lg-0">
          <li class="nav-item">
            <p
              class="nav-link active"
              sec:authorize="isAuthenticated()"
              sec:authentication="name">
            </p>
          </li>
          <li class="nav-item">
            <a class="nav-link active" th:href="@{/}">홈</a>
          </li>
          <li class="nav-item">
            <!-- 관리자만 -->
            <a
              class="nav-link active"
              sec:authorize="hasAnyRole('ROLE_ADMIN')"
              th:href="@{/admin}"
            >
              관리자 페이지
            </a>
          </li>
          <li class="nav-item">
            <!-- 로그인한 사람 모두 -->
            <a
              class="nav-link active"
              sec:authorize="isAuthenticated()"
              th:href="@{/notice}"
            >
              공지사항
            </a>
          </li>
          <li class="nav-item">
            <!-- 유저만 -->
            <a
              class="nav-link active"
              sec:authorize="hasAnyRole('ROLE_USER')"
              th:href="@{/note}"
            >
              개인노트
            </a>
          </li>
          <li class="nav-item">
            <!-- 로그인 안한 사람만 -->
            <a
              class="nav-link active"
              sec:authorize="!isAuthenticated()"
              th:href="@{/login}"
            >
              로그인
            </a>
          </li>
          <li class="nav-item">
            <!-- 로그인 안한 사람만 -->
            <a
              class="nav-link active"
              sec:authorize="!isAuthenticated()"
              th:href="@{/signup}"
            >
              회원가입
            </a>
          </li>
          <li class="nav-item">
            <!-- 로그인한 사람만 -->
            <a
              class="nav-link active"
              sec:authorize="isAuthenticated()"
              th:href="@{/logout}"
            >
              로그아웃
            </a>
          </li>
        </ul>
      </div>
    </div>
  </nav>
</div>
</body>

공식문서

https://docs.spring.io/spring-security/site/docs/current/reference/html5/

728x90