[Spring Security] Spring Security란?

📌 1. Spring Security란?

Spring Security는 Spring Framework의 서브 프로젝트로, 애플리케이션의 인증(Authentication)과 권한 부여(Authorization)를 처리하는 보안 프레임워크

 

🛠 Spring Security 핵심 기능

🔹 1. 인증(Authentication)
사용자가 누구인지 확인하는 과정.

 

👉 Spring Security에서 지원하는 인증 방식

• 폼 로그인 (formLogin()) – ID/PW 입력 후 세션 기반 로그인
• HTTP Basic 인증 (httpBasic()) – 간단한 API 인증 방식 (ID/PW Base64 인코딩)
• JWT 기반 인증 – 토큰을 이용한 인증 방식
• OAuth2 로그인 (oauth2Login()) – Google, GitHub 같은 소셜 로그인
• LDAP 인증 – 기업 환경에서 많이 사용하는 인증 방식
• SAML 인증 – 싱글 사인온(SSO) 구현 가능

 

🔹 2. 권한 부여(Authorization)
사용자가 특정 작업을 수행할 수 있는 권한이 있는지 확인 및 제한.

 

🔹 3. 보안 필터 체인(Security Filter Chain)
다양한 보안 필터를 체인 형태로 구성하여 요청을 처리. Spring Security의 모든 요청은 이 필터 체인을 통과한다.

 

👉 Spring Security의 주요 필터 동작 흐름
  1️⃣ SecurityContextPersistenceFilter – 기존 인증 정보 복원
  2️⃣ UsernamePasswordAuthenticationFilter – 기본 로그인 처리 (ID/PW)
  3️⃣ BasicAuthenticationFilter – HTTP Basic 인증 처리
  4️⃣ BearerTokenAuthenticationFilter – JWT 토큰 인증 처리
  5️⃣ ExceptionTranslationFilter – 인증/권한 오류 처리
  6️⃣ FilterSecurityInterceptor – 최종 권한 체크

 

*각 요청은 보안 필터 체인을 거쳐야 하며, JWT 인증을 사용하면 UsernamePasswordAuthenticationFilter 대신 BearerTokenAuthenticationFilter가 동작한다!

 

🔹 4. CSRF 보호
Cross-Site Request Forgery 공격 방어 기능을 제공.

 

🔹 5. 세션 관리
사용자의 세션을 관리세션 관련 보안 기능 제공.

 

🔹 6.OAuth 2.0 및 OpenID Connect 지원
외부 인증 제공자(예: Google, Facebook)를 활용한 인증을 쉽게 구현할 수 있다.

 

*OAuth2

• "인가(Authorization)"를 담당하는 프로토콜
• 액세스 토큰을 통해 리소스 접근 권한을 부여

*OpenID Connect (OIDC)

• "인증(Authentication)"까지 포함하는 OAuth2 확장 프로토콜
• ID 토큰을 이용하여 사용자 정보 제공 (sub, email 등)

---

📌2. 설정 방법

✅ 2-1. 의존성 추가

📖 build.gradle

implementation 'org.springframework.boot:spring-boot-starter-security'

 

✅ 2-2. 필터 체인 작성 (Spring Security 5.7 이후)

Spring Security 5.7부터는 WebSecurityConfigurerAdapter가 Deprecated되었고,
SecurityFilterChain을 사용하여 보안 설정을 구성해야 한다!

 

📖 기본 형태 예시

• .authorizeHttpRequests()을 사용하여 접근 권한을 설정!

@Configuration
public class SecurityConfig {

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http
            .csrf(csrf -> csrf.disable()) // CSRF 비활성화
                .formLogin(form -> form.disable()) // 기본 로그인 폼 비활성화
            //.formLogin(Customizer.withDefaults()); // 기본 로그인 폼 사용
                .httpBasic(basic -> basic.disable()); // HTTP Basic 인증 비활성화
                
        http
            .authorizeHttpRequests(auth -> auth
                .requestMatchers("/public/**").permitAll() // 인증 x
                .requestMatchers("/user/**").hasAnyRole("USER", "ADMIN")
                .requestMatchers("/admin/**").hasRole("ADMIN")
                .anyRequest().authenticated() //나머지 요청, 어떠한 역할이라도 있으면 통과
                .and()
                .oauth2ResourceServer().jwt() // JWT 인증 (클라이언트가 요청할 때 Authorization 헤더에 JWT 토큰을 포함해야 접근 가능)
                .and()
                .oauth2Login(); // OAuth2 로그인 사용 (구글, 깃허브 같은 OAuth2 로그인 방식을 사용)
            )
        return http.build();
      }
}

 

 

⭐ 5.7 이전 방식

🔥 SecurityFilterChain vs configure 

특징	SecurityFilterChain 방식	configure 방식
지원 버전	Spring Security 5.7+	Spring Security 4.x - 5.6.x
구현 방식	Bean 정의 (@Bean 및 SecurityFilterChain)	WebSecurityConfigurerAdapter 상속
권장 여부	✅ Spring Security에서 적극 권장	❌ Spring Security 5.7부터 Deprecated
설정 스타일	함수형, 모듈화 가능	단일 메서드 내에 설정 집중
테스트 편의성	테스트 및 설정 재사용에 유리	테스트보다는 초기 학습에 친숙

 

📖 기본 형태 예시

import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
            .authorizeRequests()
            .antMatchers("/public/**").permitAll()
			.anyRequest().authenticated()
    }
}

 

✅ 2-3. 인증 구현 방식

2-2에서 작성한 필터 체인에서 접근 권한을 설정했는데, 인증에 사용할 정보가 필요하다.

어떻게 인증할까?

 

🔥  비교 요약

방식	특징	적용 방식
UserDetailsService 이용	DB에서 사용자 정보 조회하여 인증	userDetailsService 활용
OAuth2 로그인	Google, GitHub 같은 소셜 로그인 지원	.oauth2Login() 사용
JWT 자동 검증 (RSA 방식 ⭕ and JWK Set URL ⭕)	토큰만으로 인증 (DB 조회 불필요)	.oauth2ResourceServer().jwt()
JWT 직접 검증 (RSA 방식 ❌ or JWK Set URL ❌)	토큰만으로 인증, 직접 토큰 검증 필터 구현	JwtAuthenticationFilter 직접 작성 후 addFilterBefore() 추가

• 🔗 JWT 토큰 생성 (RSA vs HS256)

 

✅ 2-3-1.  UserDetailsService를 이용한 인증 방식

• 기본적인 DB 기반의 인증 방식 (예: ID/PW 로그인)
• UserDetailsService를 이용해 DB에서 사용자 정보를 조회하여 인증

 

📖 UserDetailsService 사용 예시

• UserDetailsService를 사용하여 사용자 정보를 DB에서 조회 후 인증
• 기본 로그인 폼(formLogin)을 활성화하여 인증 수행

@Configuration
public class SecurityConfig {

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http, UserDetailsService userDetailsService) throws Exception {
        http
            .csrf(csrf -> csrf.disable())
            .authorizeHttpRequests(auth -> auth
                .requestMatchers("/public/**").permitAll()
                .anyRequest().authenticated()
            )
            .formLogin(Customizer.withDefaults()) // 기본 로그인 폼 활성화
            .userDetailsService(userDetailsService); // UserDetailsService 사용
        
        return http.build();
    }

    @Bean
    public UserDetailsService userDetailsService() {
        return username -> {
            if ("admin".equals(username)) {
                return User.withUsername(username)
                        .password("{noop}password") // {noop} -> 인코딩 없이 사용
                        .roles("ADMIN")
                        .build();
            }

            throw new UsernameNotFoundException("User not found");
        };
    }
}

 

 

✅ 2-3-2. OAuth2 로그인 방식

• Google, GitHub 등 OAuth2를 통한 소셜 로그인 방식
• Spring Security에서 기본 제공하는 OAuth2 로그인 기능 사용
• /oauth2/authorization/{provider} 엔드포인트로 OAuth2 로그인 가능

 

📖 OAuth2 로그인 방식 예시

@Configuration
public class SecurityConfig {

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http
            .csrf(csrf -> csrf.disable())
            .authorizeHttpRequests(auth -> auth
                .requestMatchers("/public/**").permitAll()
                .anyRequest().authenticated()
            )
            .oauth2Login(Customizer.withDefaults()); // OAuth2 로그인 활성화       

        return http.build();
    }
}

 

✅⭐ JWT 검증 방식비교 & JWT 생성 예시 코드

🔗 JWT 란? (생성 & 검증 코드 예시)

 

🔥JWT 검증 방식 비교

방식	JWK Set 제공 (RSA 기반)	HS256 방식
검증 방식	oauth2ResourceServer().jwt()로 자동 검증 가능	수동으로 필터에서 JWT 검증
보안성	공개 키/개인 키 분리 가능 → 안전함	SECRET_KEY가 유출되면 JWT를 위조 가능
구현 난이도	JWK 제공이 필요 (/.well-known/jwks.json)	SECRET_KEY만 있으면 간단
성능	RSA 서명 검증이므로 약간 느림	HS256은 빠름
OAuth 2.0 호환성	OAuth 2.0 표준 지원	OAuth 2.0 표준 방식 아님
적용 사례	OAuth2 / OIDC 인증이 필요한 경우	간단한 내부 인증 시스템

 

🚀 참고

• RSA기반 토큰은 검증서버(ex.gateway)에서 간단히 검증 But, 인증서버(ex.auth-service) 구현이 어려움!!
• 검색하면 대부분 대칭키 방식을 사용한다. 나도 일단 대칭키 방식을 이용했고 비대칭키 방식은 추가 학습이 필요할 듯!!

 

✅ 2-3-3.  JWT 자동 검증 방식

• JWT(Json Web Token)를 이용한 인증 방식
• 서버가 DB 조회 없이 토큰 검증만으로 인증 가능
• *JWK Set를 이용

 

⭐ JWK Set(JSON Web Key Set)란?

• JWK Set(JWKS)은 JWT 서명을 검증할 공개 키들을 JSON 형태로 제공하는 표준 형식.
• 보통 OAuth2 서버 또는 OpenID Connect(OIDC) 인증 서버가 공개 키를 JWK Set 형식의 URL로 제공해.

 

🔍 언제 사용할까?

  ➡️ 공개키와 공개키 제공 URL( JWK Set URL(jwks_uri) )이 있을 때!!

• 외부 JWT 제공 서비스 이용할 때.
• 직접 RSA방식으로 JWT 생성 및 JWK Set 엔드포인트 구현 했을 때.

 

📖 JWT 검증 방식 예시

@Configuration
public class SecurityConfig {

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http
            .csrf(csrf -> csrf.disable())
            .authorizeHttpRequests(auth -> auth
                .requestMatchers("/public/**").permitAll()
                .anyRequest().authenticated()
            )
	// 아래 2개 방법 중 택1
            .oauth2ResourceServer(oauth2 -> oauth2.jwt()); // 설정 파일에서 issuer-uri 설정
            .oauth2ResourceServer(oauth2 -> oauth2.jwtjwt -> jwt.jwkSetUri({공개키제공URI})); // jwkSetUri 지정
        return http.build();
    }
}

 

 

📖 application.yml - issuer-uri 설정 예시

• SecurityConfig에서 .jwkSetUri()를 생략했을 때
• Spring Security는 자동으로{issuer-uri}/.well-known/openid-configuration을 요청해서 OpenID 설정을 가져옴

spring:
  security:
    oauth2:
      resourceserver:
        jwt:
          issuer-uri: https://auth.example.com

 

 

📖 인증 서버 응답 예시

  ➡️ Spring Security는 여기서 jwks_uri 값을 찾아서 JWK Set을 가져온다!

{
  "issuer": "https://auth.example.com",
  "jwks_uri": "https://auth.example.com/.well-known/jwks.json"
}

 

✅ 2-3-3.  JWT 직접 검증 방식

• JWT를 직접 검증하는 필터를 작성해야 한다.
• JwtAuthenticationFilter를 만들어서 JWT를 검증 후 SecurityContext에 등록

 

🔍 언제 사용할까?

• HS256 같은 대칭키 방식으로 JWT 서명하는 경우.
• JWT를 자체 발행, RSA 방식이지만 공개키제공 API구현하지 않았을 때.

 

📖 JWT 검증(사용자 정의 필터 사용) 예시

@Configuration
public class SecurityConfig {

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http, JwtAuthenticationFilter jwtAuthenticationFilter) throws Exception {
        http
            .csrf(csrf -> csrf.disable())
            .authorizeHttpRequests(auth -> auth
                .requestMatchers("/auth/**").permitAll()
                .anyRequest().authenticated()
            )
            .addFilterBefore(jwtAuthenticationFilter, UsernamePasswordAuthenticationFilter.class); // JWT 필터 추가

        return http.build();
    }
}

 

📖 JWT 필터 예시

@Component
public class JwtAuthenticationFilter extends OncePerRequestFilter {

    private final String SECRET_KEY = "my-secret-key";

    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
            throws ServletException, IOException {
            
        String token = resolveToken(request);
        
        if (token != null && validateToken(token)) {
            Claims claims = getClaims(token);
            String username = claims.getSubject();

            UsernamePasswordAuthenticationToken authentication =
                    new UsernamePasswordAuthenticationToken(username, null, null);
            SecurityContextHolder.getContext().setAuthentication(authentication);
        }
        chain.doFilter(request, response);
    }

    private String resolveToken(HttpServletRequest request) {
        String bearerToken = request.getHeader("Authorization");
        if (bearerToken != null && bearerToken.startsWith("Bearer ")) {
            return bearerToken.substring(7);
        }
        return null;
    }

    private Claims getClaims(String token) {
        return Jwts.parserBuilder()
                .setSigningKey(SECRET_KEY.getBytes())
                .build()
                .parseClaimsJws(token)
                .getBody();
    }

    private boolean validateToken(String token) {
        try { // JWT의 형식(Header.Payload.Signature 형태인지) & 서명 & 만료 검증
           Jwts.parserBuilder().setSigningKey(SECRET_KEY.getBytes()).build().parseClaimsJws(token);
            return true;
        } catch (Exception e) {
            return false;
        }
    }

}

 

✅ 2-4. 세션 보안 설정

🛠 세션 관련 주요 보안 기능

🔹 세션 고정 공격 방지: 로그인 시 기존 세션 ID를 유지하지 않고, 새로운 세션으로 교체하는 기능

🔹 동시 로그인 차단: 같은 계정으로 여러 개의 세션을 유지하지 못하도록 제한

🔹 세션 저장소 설정: 세션을 서버 메모리(RAM), 데이터베이스(DB), Redis 등에 저장 가능

 

📖 세션 보안 설정 예제

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.web.session.HttpSessionEventPublisher;

@Configuration
public class SecurityConfig {

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http
            .sessionManagement(session -> session
                // ✔ 세션 고정 공격 방지: 로그인 시 새로운 세션 생성
                .sessionFixation().migrateSession()
                // ✔ 동시 로그인 차단: 한 계정으로 한 번만 로그인 가능
                .maximumSessions(1)
                .maxSessionsPreventsLogin(true) // true면 기존 세션 유지, false면 새로운 로그인 허용
            );
        return http.build();
    }

    // ✔ 동시 로그인 감지를 위한 세션 이벤트 리스너 등록
    @Bean
    public HttpSessionEventPublisher httpSessionEventPublisher() {
        return new HttpSessionEventPublisher();
    }

}