SecurityChain 분석

• 인증이 필요한 부분은 SecurityFilterChain을 거치며 수행된다.
• 핵심 필터는 SecurityContextPersistenceFilter, AbstractAuthenticationProcessingFilter 두 개
• SecurityContextPersistenceFilter는 인증된 결과를 저장하는 SecurityContext를 만든다
• AbstractAuthenticationProcessingFilter는 인증된 결과인 Authentication 인스턴스를 SecurityContext에 저장한다.

SecurityConfig로 SecurityFilterChain 만들기

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter{
	
	@Override(100)
	protected void configure(HttpSecurity http) throws Exception {
		http.antMatchers("/foo/**").authenticated()
				.csrf.disable()
				.authorizeRequests();
	}
	
	@Override(200)
	protected void configure(HttpSecurity http) throws Exception {
		http.mvcMatcher("/bar/**");
	}
	
	@Override(300)
	protected void configure(HttpSecurity http) throws Exception {
		http.mvcMatcher("/**");
	}
}

WebSecurityConfigurerAdapter 클래스는 Spring Security 에서 설정들을 다양하게 커스터마이징 할 수 있는 변경 포인트를 제공하는 설정자 클래스이다.

위의 설정들은 /foo/** , /bar/, / 의 경로들에 대해 필터를 설정해주는 것을 볼 수 있다.

또한 다양한 설정들을 할 수 있다. 이 때 내가 직접설정한 configure를 사용할 수도 있고, 내장되어 있는 것들(csrf.disable() 같은 configure들) 과 init()을 가져와 위의 configure들을 build하여 쓸 수 있다.

• WebSecurity 와 HttpSecurity의 차이점
  • HttpSecurity의 상위 구조가 바로 WebSecurity이다.
  • .ignoring 을 통해 WebSecurity가 권한을 부분적으로 허용하지만, 이때 SecurityFilterChain이 적용되지 않아서 잘못된 Bearer Token에 대해서도 통과를 시켜 Cross-Site-Scripting, XSS공격, content-sniffing에 취약해지는 반면, permitall 을 통해 권한을 허용하는 HttpSecurity의 경우 이때도 SecurityFilterChain이 적용되어 잘못된 Bearer Token을 감지하여 에러를 던지기에 Cross-Site-Scripting, XSS공격, content-sniffing을 방지하는 효과가 있다
  • 그래서 WebSecurity의 경우 보안과 전혀 상관없는 로그인 페이지나 공개페이지, Application의 health 체크를 위한 api에 사용하고, 그 이외에는 HttpSecurity를 사용한다.

이렇게 만들어진 SecurityFilterChain 은 WebSecurity를 통해서 FilterChainProxy에 넣어준다.