[스프링부트 시리즈24] 스프링 시큐리티

Featured image

스프링 시큐리티란?


스프링 부트는 회원 가입과 로그인을 도와주는 스프링 시큐리티(Spring Security)를 사용할 수 있다. SBB도 스프링 시큐리티를 사용하여 회원 가입과 로그인 기능을 만들 것이다. SBB에 회원 가입과 로그인 기능을 추가하기 전에 먼저 스프링 시큐리티를 간단하게 알아보고 설치와 설정도 진행해 보자.

스프링 시큐리티는 스프링 기반 웹 애플리케이션의 인증과 권한을 담당하는 스프링의 하위 프레임워크이다. 여기서 인증(authenticate)은 로그인과 같은 사용자의 신원을 확인하는 프로세스를, 권한(authorize)은 인증된 사용자가 어떤 일을 할 수 있는지(어떤 접근 권한이 있는지) 관리하는 것을 의미한다.

스프링 시큐리티 설치하기


스프링 시큐리티를 사용하기 위해 다음과 같이 build.gradle.kts 파일을 수정해 보자.

[파일명:build.gradle.kts]

(... 생략 ...)

dependencies {
    (... 생략 ...)
    implementation 'org.springframework.boot:spring-boot-starter-security'
    implementation 'org.thymeleaf.extras:thymeleaf-extras-springsecurity6'
}

(... 생략 ...)

스프링 시큐리티와 이와 관련된 타임리프(Thymeleaf) 라이브러리를 사용하도록 설정했다. 그레이들 패널을 열고 프로젝트를 리로드한 뒤 로컬 서버를 재시작하자.

thymeleaf-extras-springsecurity6 패키지는 타임리프 템플릿 엔진과 스프링 시큐리티 프레임워크를 함께 사용할 때 필요한 타임리프의 확장 기능이다.

스프링 시큐리티 설정하기


1) 스프링 시큐리티를 설치하고 로컬 서버를 재시작한 후에 SBB의 질문 목록 화면에 접속해보자. 아마도 다음과 같은 화면이 나타나서 깜짝 놀랄 것이다. 인증 2) 스프링 시큐리티는 기본적으로 인증되지 않은 사용자가 SBB와 같은 웹 서비스를 사용할 수 없게끔 만든다. 따라서 이와 같이 인증을 위한 로그인 화면이 나타나는 것이다. 이러한 스프링 시큐리티의 기본 기능을 SBB에 그대로 적용되면 곤란하므로 설정을 통해 바로잡아야 한다. SBB는 로그인하지 않아도 게시물을 조회할 수 있어야 하기 때문이다.

다음과 같이 com.mysite.sbb 패키지에 스프링 시큐리티의 설정을 담당할 SecurityConfig.java 파일을 작성해 보자.

[파일명:SecurityConfig.java]

package com.mysite.sbb;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.web.SecurityFilterChain;
import org.springframework.security.web.util.matcher.AntPathRequestMatcher;

@Configuration
@EnableWebSecurity
public class SecurityConfig {
    @Bean
    SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http
            .authorizeHttpRequests((authorizeHttpRequests) -> authorizeHttpRequests
                .requestMatchers(new AntPathRequestMatcher("/**")).permitAll())
        ;
        return http.build();
    }
}

@Configuration은 이 파일이 스프링의 환경 설정 파일임을 의미하는 애너테이션이다. 여기서는 스프링 시큐리티를 설정하기 위해 사용했다. @EnableWebSecurity는 모든 요청 URL이 스프링 시큐리티의 제어를 받도록 만드는 애너테이션이다. 이 애너테이션을 사용하면 스프링 시큐리티를 활성화하는 역할을 한다. 내부적으로 SecurityFilterChain 클래스가 동작하여 모든 요청 URL에 이 클래스가 필터로 적용되어 URL별로 특별한 설정을 할 수 있게 된다. 스프링 시큐리티의 세부 설정은 @Bean 애너테이션을 통해 SecurityFilterChain 빈을 생성하여 설정할 수 있다.

다음은 인증되지 않은 모든 페이지의 요청을 허락한다는 의미이다. 따라서 로그인하지 않더라도 모든 페이지에 접근할 수 있도록 한다.

ed!http
    .authorizeHttpRequests((authorizeHttpRequests) -> authorizeHttpRequests
        .requestMatchers(new AntPathRequestMatcher("/**")).permitAll())
    ;

이렇게 스프링 시큐리티 설정 파일을 구성하면 이제 질문 목록, 질문 답변 등의 기능을 이전과 동일하게 사용할 수 있다.

H2 콘솔 오류 수정하기


그런데 스프링 시큐리티를 적용하면 H2 콘솔 로그인 시 다음과 같은 403 Forbidden 오류가 발생한다. 403 Forbidden은 작동 중인 서버에 클라이언트의 요청이 들어왔으나, 서버가 클라이언트의 접근을 거부했을 때 반환하는 HTTP 오류 코드이다. 이 오류는 서버 또는 서버에 있는 파일 등에 접근 권한이 없을 경우에 발생한다. 403오류

403 Forbidden 오류가 발생하는 이유를 좀 더 구체적으로 설명하면, 스프링 시큐리티의 CSRF 방어 기능에 의해 H2 콘솔 접근이 거부되기 때문이다. CSRF는 웹 보안 공격 중 하나로, 조작된 정보로 웹 사이트가 실행되도록 속이는 공격 기술이다. 스프링 시큐리티는 이러한 공격을 방지하기 위해 CSRF 토큰을 세션을 통해 발행하고, 웹 페이지에서는 폼 전송 시에 해당 토큰을 함께 전송하여 실제 웹 페이지에서 작성한 데이터가 전달되는지를 검증한다.

  • 토큰이란 요청을 식별하고 검증하는 데 사용하는 특수한 문자열 또는 값을 의미한다.
  • 세션이란 사용자의 상태를 유지하고 관리하는 데 사용하는 기능이다.

1) 이 오류를 해결하기 전에 다음과 같이 질문 등록 화면을 열고 브라우저의 ‘페이지 소스 보기’ 기능을 이용하여 질문 등록 화면의 소스를 잠시 확인해 보자. 소스확인 2) 그러면 다음과 같이 질문 등록 화면의 소스를 볼 수 있다. 소스 다음과 같은 input 요소가 <form> 태그 안에 자동으로 생성된 것을 확인할 수 있다.

스프링 시큐리티에 의해 이와 같은 CSRF 토큰이 자동으로 생성된다.

CSRF 토큰은 서버에서 생성되는 임의의 값으로 페이지 요청 시 항상 다른 값으로 생성된다. 때문에 여러분의 화면과 다소 차이가 있다.

스프링 시큐리티는 이런 식으로 페이지에 CSRF 토큰을 발행하여 이 값이 다시 서버로 정확하게 들어오는지를 확인하는 과정을 거친다. 만약 CSRF 토큰이 없거나 해커가 임의의 CSRF 토큰을 강제로 만들어 전송한다면 스프링 시큐리티에 의해 차단될 것이다. 정리하자면, H2 콘솔은 스프링 프레임워크가 아니므로 CSRF 토큰을 발행하는 기능이 없어 이와 같은 403 오류가 발생한 것이다.

H2 콘솔은 스프링과 상관없는 일반 애플리케이션이다. 3) 스프링 시큐리티가 CSRF 처리 시 H2 콘솔은 예외로 처리할 수 있도록 다음과 같이 설정 파일을 수정하자. [파일명:SecurityConfig.java]

(... 생략 ...)

@Configuration
@EnableWebSecurity
public class SecurityConfig {
    @Bean
    SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http
            .authorizeHttpRequests((authorizeHttpRequests) -> authorizeHttpRequests
                .requestMatchers(new AntPathRequestMatcher("/**")).permitAll())
            .csrf((csrf) -> csrf
                .ignoringRequestMatchers(new AntPathRequestMatcher("/h2-console/**")))
        ;
        return http.build();
    }
}    

이와 같이 /h2-console/로 시작하는 모든 URL은 CSRF 검증을 하지 않는다는 설정을 추가했다. 이렇게 수정하고 로컬 서버를 재시작한 후 다시 H2 콘솔에 접속해 보자.

4) 이제 CSRF 검증에서 예외 처리되어 로그인은 잘 수행된다. 하지만 다음과 같이 화면이 깨져 보인다. 엑박

이와 같은 오류가 발생하는 원인은 H2 콘솔의 화면이 프레임(frame) 구조로 작성되었기 때문이다. 즉, H2 콘솔 UI(user interface) 레이아웃이 이 화면처럼 작업 영역이 나눠져 있음을 의미한다. 스프링 시큐리티는 웹 사이트의 콘텐츠가 다른 사이트에 포함되지 않도록 하기 위해 X-Frame-Options 헤더의 기본값을 DENY로 사용하는데, 프레임 구조의 웹 사이트는 이 헤더의 값이 DENY인 경우 이와 같이 오류가 발생한다.

스프링 부트에서 X-Frame-Options 헤더는 클릭재킹 공격을 막기 위해 사용한다. 클릭재킹은 사용자의 의도와 다른 작업이 수행되도록 속이는 보안 공격 기술이다.

5) 이 문제를 해결하기 위해 다음과 같이 설정 파일을 수정하자.

[파일명:SecurityConfig.java]

package com.mysite.sbb;

(... 생략 ...)
import org.springframework.security.web.header.writers.frameoptions.XFrameOptionsHeaderWriter;
(... 생략 ...)


@Configuration
@EnableWebSecurity
public class SecurityConfig {
    @Bean
    SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http
            .authorizeHttpRequests((authorizeHttpRequests) -> authorizeHttpRequests
                .requestMatchers(new AntPathRequestMatcher("/**")).permitAll())
            .csrf((csrf) -> csrf
                .ignoringRequestMatchers(new AntPathRequestMatcher("/h2-console/**")))
            .headers((headers) -> headers
                .addHeaderWriter(new XFrameOptionsHeaderWriter(
                    XFrameOptionsHeaderWriter.XFrameOptionsMode.SAMEORIGIN)))
        ;
        return http.build();
    }
}

이와 같이 URL 요청 시 X-Frame-Options 헤더를 DENY 대신 SAMEORIGIN으로 설정하여 오류가 발생하지 않도록 했다. X-Frame-Options 헤더의 값으로 SAMEORIGIN을 설정하면 프레임에 포함된 웹 페이지가 동일한 사이트에서 제공할 때에만 사용이 허락된다.

6) 이제 다시 H2 콘솔로 로그인하면 우리에게 익숙한 화면이 등장한다. 즉, 정상으로 동작하는 것을 확인할 수 있다. 콘솔 스프링 시큐리티를 사용하면 웹 프로그램(애플리케이션)의 보안을 강화하고 사용자 인증 및 권한 부여를 효과적으로 관리할 수 있으며, 외부 공격으로부터 시스템을 보호하는 데 도움을 얻을 수 있다.

이러한 스프링 시큐리티의 설치와 설정을 마쳤으니 SBB에 회원 가입과 로그인 기능을 추가해 보자!