[Spring] Spring Security - 인증, 인가, CSRF, Test

[Spring] Spring Security

Spring Security

- 어플리케이션에 보안 기능을 구현할 때 사용되는 프레임워크

- servlet container에 배포하는 어플리케이션에 활용

기능

1. 인증/인가

- 인증 : 사용자의 정당성 확인

- 인가 : 사용자의 리소스 접근에 대한 제어

2. 세션 관리

- Session을 이용한 공격에 대한 보호와 Session 라이프 사이클 제어

3. CSRF 방지 

- CSRF(Cross-Site Request Forgery)로부터 보호

-> 이외에도 여러가지 기능이 많음

설정

1. Dependency 추가

<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-web</artifactId>                   
    <version>5.1.5.RELEASE</version>
</dependency>
<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-config</artifactId>
    <version>5.1.5.RELEASE</version>
</dependency>

2. Config에 Bean 설정

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {  
}
 

- @EnableWebSecurity로 활성화

3. Servlet Filter 설정

1) ServletFilter 설정

@Configuration
public class SecurityFilterConfig extends AbstractSecurityWebApplicationInitializer {
}

- AbstractSecurityWebApplicationInitializer를 상속받는 class 생성

2) Filter 등록

@Configuration
public class DispatcherConfig 
                extends AbstractAnnotationConfigDispatcherServletInitializer {
    protected Class<?>[] getRootConfigClasses() {
        return new Class[0];
    }
 
    protected Class<?>[] getServletConfigClasses() {
        return new Class<?>[] {WebMvcConfig.class};
    }
 
    protected String[] getServletMappings() {
        return new String[]{"/"};
    }
 
    @Override
    protected Filter[] getServletFilters() {
        return new Filter[] {
                new DelegatingFilterProxy("springSecurityFilterChain")
        };
    }
}

- dispatcher servlet config 파일에 Filterchain 추가

Spring Security Architecture

모듈

- spring-security-core : 인증/인가 구현을 위한 컴포넌트

- spring-security-web : 웹 어플리케이션 보안 기능을 위한 컴포넌트

- spring-security-config : 컴포넌트 설정을 위한 컴포넌트

- spring-security-taglibs : 인증/인가를 사용하기위한 JSP 태그 라이브러리

Architecture

- Client의 요청을 FilterChainProxy에서 받음

- HttpFirewall에 방화벽 기능 호출

- Security Filter에게 요청을 넘기고 Seucirty Filter 정상 종료 시, Resource에 접근

1. FilterChainProxy

- 프레임워크 진입점 역할을 하는 서블릿 필터 클래스

- 전체 흐름 제어, 보안 기능 추가

2. HttpFirewall

- HttpServletRequest/Response에 방화벽 기능 ㅊ추가

3. SecurityFilterChain

- FilterChainProxy가 받은 요청에 적용할 보안 필터 목록 관리

4. Security Filter

- 보안 기능을 제공하는 Servlet Filter 클래스

인증 처리

인증 처리

- Spring Security가 제공하는 인증 메커니즘

1. AuthenticationFilter

- 인증 처리 방식

- 클라이언트의 요청 파라미터에서 인증정보(계정, 패스워드)를 받고 Authentication Manager의 method 호출

2. AuthenticationManager(implementation : ProviderManager)

- 인증 처리를 수행하기 위한 인터페이스

- 기본 구현 : AuthenticationProvider에게 인증 처리를 위임하고 인증 결과를 받는 구조

3. AuthenticationProvider(implementation : DaoAuthenticationProvider)

- 인증 처리 기능을 구현하기 위한 인터페이스

인증 페이지

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {     
}

- Spring Security에서는 위와 같이 @EnableWebSecurity 설정 시, 인증을 요청하는 페이지를 보여줌

- 결과

인증

- 권한을 얻은 user만 접근할 수 있도록 설정

1. config

@EnableWebSecurity
@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
                .withUser("admin").password(encoder().encode("admin")).roles("ADMIN")
                .and()
                .withUser("user").password(encoder().encode("user")).roles("USER");
    }
 
    @Bean
    public PasswordEncoder encoder() {
        return new BCryptPasswordEncoder();
    }
}

- "admin" 계정과 "user" 계정 생성

- Login 페이지에서 위의 계정으로 로그인 시, 모든 controller를 이용할 수 있음

- 비 로그인 시, 모든 요청이 "/login"으로 리다이렉트

- 로그인 시, 쿠키에 JSESSIONID 등록

- 로그인 후 접근

인가 처리

인가 처리

- 사용자가 접근할 수 있는 resource 제어

- resource에 대한 접근 정책 정의, resource 접근 시 접근 정책 확인 후 허용 여부 결정

1. ExceptionTranslationFilter

- 인가 과정에서 발생한 예외 처리

- 클라이언트에 응답을 하기 위한 servlet filter

- 인증되지 않은 사용자 접근 시, 로그인 페이지로 리다이렉트

2. FilterSecurityInterceptor

- HTTP 요청에 대한 인가 처리를 적용하기 위한 servlet filter

- AccessDecisionManager의 method를 호출하여 인가 처리

3. AccessDecisionManager(implementation : AffirmativeBased)

- AccessDecisionVoter의 method를 호출하여 접근 가능 여부 투표

- 하나의 AccessDecisionVoter가 부여로 투표하면 접근 권한 부여

4. AccessDecisionVoter(implementation : WebExpressionVoter)

- 접근하려는 resource에 접근 정책을 참조하여 접근 권한 부여 여부 투표

REST 인증/인가

- REST에서 인증을 사용

1. config 설정

@EnableWebSecurity
@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.inMemoryAuthentication()
                .withUser("admin").password(encoder().encode("admin")).roles("ADMIN")
                .and()
                .withUser("user").password(encoder().encode("user")).roles("USER");
    }
 
    @Override
    public void configure(HttpSecurity httpSecurity) throws Exception {
        httpSecurity
                .csrf().disable()
                .httpBasic()
                .and()
                .authorizeRequests()
                .antMatchers("/db/**").hasRole("ADMIN");
    }
 
    @Bean
    public PasswordEncoder encoder() {
        return new BCryptPasswordEncoder();
    }
}

1) configure(AuthenticationManagerBuilder auth)

- AuthenticationManagerBuilder를 사용해 어떠한 계정의 어떠한 role을 갖는지 설정

- admin ->  "ADMIN"

- user -> "USER"

2) configure(HttpSecurity httpSecurity)

- csrf().disable() : basic auth를 사용하기 위해 csrf 보호 기능 disable

- httpBasic() : basic auth 사용

- authorizeRequests() : 모든 request를 인증

- antMatchers().hasRole() : 특정 URI를 특정 role을 갖는 계정만 접근할 수 있음

3) encoder

- 평문 password를 해시화하여 저장하기 위해 사용

- BCryptPasswordEncoder : Bcrypt 알고리즘으로 해시

- StandardPasswordEncoder : SHA-256 알고리즘으로 해시

- NoOpPasswordEncoder : 해시화 하지 않음

2. Test용 controller

@RestController
@RequestMapping("/db")
public class DatabaseController {
    @Autowired
    private TRepository tRepository;
 
    @RequestMapping(value = "/create", method = RequestMethod.POST)
    public void create(@RequestBody TestModel testModel) {
        tRepository.create(testModel);
    }
 
    @RequestMapping(value = "/{id}", method = RequestMethod.GET)        
    public TestModel get(@PathVariable String id) {
        TestModel test = tRepository.getOne(id);
        return test;
    }
}

- DB에 저장하는 create 핸들러와 select하는 get 핸들러

1) 인증 정보 설정(curl)

- curl 사용 시, -u 옵션과 id:password로 전송

- ex) curl localhost:8080/db/tester -u admin:admin

2) 인증 정보 설정(Postman)

- Authorization에서 username, password 설정

- 결과(인증O)

- 결과(인증X)

접근 정책

- resource에 접근하기 위한 정책 설정

1. config

@EnableWebSecurity
@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    public void configure(HttpSecurity httpSecurity) throws Exception {
        httpSecurity.authorizeRequests()
            .antMatchers("/db").hasRole("ADMIN")
            .antMatchers("/db/{id}").access("isAuthenticated() or (#id == 'tester')")
            .antMatchers("/sample").hasAnyRole("ADMIN","USER")
            .antMatchers("/resources").permitAll()
            .anyRequest().authenticated();
    }
}

1) 표현식

- hasRole : 특정 Role에 해당하면 성공

- hasAnyRole : 특정 Role들 중 하나에 해당하면 성공

- isAnonymous : 로그인하지 않은 사용자면 성공

- isAuthenticated : 이미 인증된 사용자면 성공

- permitAll : 항상 성공

- denyAll : 항상 실패

- access : 경로 변수나 여러개의 접근 정책 설정

2) Resource 지정

- antMatchers : ant 형식으로 지정한 경로 패턴의 resource에 적용

- regexMatchers : 정규표현식으로 지정한 경로 패턴의 resource에 적용

- requestMatchers :  RequestMatcher 인터페이스 구현과 일치하는 resource에 적용

- anyRequest : 기타 resource에 적용

Method 인가

- AOP를 이용해 method에 대해 인가 처리를 할 수 있음

1. config

@EnableWebSecurity
@Configuration
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {       
}

- config파일에 @EnableGlobalMethodSecurity(prePostEnabled = true) 추가

2. method 접근 정책 지정

1) @PreAuthorize

- method 실행 전 접근 정책을 지정하고 접근 정책 통과 시, method 실행

@RestController
@RequestMapping(value = "/sample")
public class SampleController {
    @RequestMapping(value = "/{id}", method = RequestMethod.GET)            
    @PreAuthorize("hasRole('ADMIN') or (#id == 'tester')")
    public String auth(@PathVariable String id) {
       return id;
    }
}

- @Preauthorize 지정

- "ADMIN" role인 계정이나 path 경로의 id가 tester이면 접근 허용

- 결과(성공)

- 결과(실패)

2) @PostAuthorize

- method 실행 후 적용할 접근 정책 지정

- method가 실행된 후, 지정한 접근 정책 통과 시, response 전달

@RestController
@RequestMapping(value = "/sample")
public class SampleController {
    @RequestMapping(value = "/{id}", method = RequestMethod.GET)      
    @PostAuthorize("(returnObject.equals('admin'))")
    public String auth(@PathVariable String id) {
       return id;
    }
}

- returnObject가 'admin'이면 response

- 결과(성공)

- 결과(실패)

CSRF 방지

CSRF(Cross-Site Request Forgery)

- server가 신뢰하는 client에게 특정 action을 취하는 script를 실행하게하여 신뢰된 client가 특정 server에 공격 request를 전송하게함

Spring Security CSRF

- Session 단위로 무작위 토큰(CSRF Token)을 발급

- 요청 파라미터에 token을 포함시켜 전송하여 정상 요청인지, 공격자로부터 의도된 요청인지 판단하는 기능이 있음

1. CSRF 보호 기능 활성화

- Spring Security에서는 @EnableWebSecurity 지정 시, 자동으로 CSRF 보호 기능이 활성화

- 비활성화가 필요할 경우, config 파일에 추가

@EnableWebSecurity
@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    public void configure(HttpSecurity httpSecurity) throws Exception {   
        httpSecurity
                .csrf().disable();
    }
}

- HttpSecurity에 있는 csrf().disable() method를 사용하여 disable

2. CSRF Token

- CSRF 보호는 데이터 변조를 할 수 있는 POST, PUT 등의 method에 적용

1) Config

- CSRF Token을 사용하기 위해 Config 파일에 추가

@EnableWebSecurity
@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    public void configure(HttpSecurity httpSecurity) throws Exception {
        httpSecurity
                .csrf()
                .csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse());
    }
}

- csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse())를 사용하여 csrf token 사용 지정

2) Controller

@RestController
@RequestMapping(value = "/csrf")
public class CsrfController {
    @RequestMapping(value = "/create", method = RequestMethod.POST)
    public TestModel create(@RequestBody TestModel testModel) {          
       return testModel;
    }
 
    @RequestMapping(value = "/", method = RequestMethod.GET)
    public String get() {
        return "token";
    }
}

- GET/POST test를 위한 Controller

3) 결과

- 결과(GET)

->  Token없이도 GET 요청은 성공 

- 결과(Cookie)

->  server에 요청 시, Response Cookie에 XSRF-TOKEN 발급

- 결과(Token없이 POST)

-> Server에서 받은 cookie가 request에 포함되어있지만 Server에서는 header(X-XSRF-TOKEN)로 검증

- 결과(POST)

-> request header에 "X-XSRF-TOKEN"을 포함하여 전송

보안 헤더

보안 헤더 설정

- Spring Security에서는 @EnableWebSecurity 지정 시, 자동으로 보안 헤더를 활성화

- 비활성화가 필요할 경우, config 파일에 추가

@EnableWebSecurity
@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    public void configure(HttpSecurity httpSecurity) throws Exception {  
        httpSecurity
                .headers().disable();
    }
}

- HttpSecurity의 headers().disable()을 사용하여 비활성화

종류

- Cache-Control : Content의 캐시 방법을 지시

- X-Frame-Options : <frame> tag에서 content 표시를 인가할지에 대한 여부를 지시

- X-Content-Type-Options : Content의 종류를 결정하는 방법을 지시

- X-XSS-Protection : 브라우저의 XSS 필터를 사용해 악성 스크립트를 검출할 방법을 지시

- Strict-Transport-Security : HTTPS 접근 후 HTTP로 접근하려할 때, HTTPS로 접근하도록 지시

헤더 선택

- 모든 보안 헤더를 사용하는 대신, 원하는 헤더만 사용하고 싶을 때 헤더를 지정할 수 있음

1. config 파일에 추가

@EnableWebSecurity
@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
   
    @Override
    public void configure(HttpSecurity httpSecurity) throws Exception { 
        httpSecurity
                .headers()
                .defaultsDisabled()
                .cacheControl()
                .and()
                .xssProtection();
    }
}

- defaultsDisabled() : 기본 헤더 설정을 모두 disable

- 사용하고 싶은 헤더만 추가(Cache-Control, X-XSS-Protection)

- 사용하고 싶지 않은 헤더만 비활성화하고 싶은 경우, cacheControl().disable() 과 같이 비활성화할 수 있음

Spring Security Test

- MocvMvc를 사용하여 Spring Security의 인증/인가를 테스트

Spring Security Test 설정

1. Dependency 추가

<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-test</artifactId>                       
    <version>5.1.5.RELEASE</version>
</dependency>

- spring-security-test 디펜던시 추가

2. Test Class 설정

@RunWith(SpringRunner.class)
@ContextConfiguration(classes = {WebMvcConfig.class, WebSecurityConfig.class})
@WebAppConfiguration
public class TestDatabaseController {
    @Autowired
    private WebApplicationContext webApplicationContext;
 
    private MockMvc mockMvc;
 
    @Before
    public void setup() {
        this.mockMvc = MockMvcBuilders.webAppContextSetup(webApplicationContext)
                .apply(springSecurity()).build();
    }
}

- @ContextConfiguration을 사용하여 Security 설정 파일(WebSecurityConfig) 참조

- MockMvc에 sercurity servlet filter 추가

인증 Test

- Spring Security에서 제공하는 인증 처리를 테스트

@RunWith(SpringRunner.class)
@ContextConfiguration(classes = {WebMvcConfig.class, WebSecurityConfig.class})
@WebAppConfiguration
public class TestSampleController {
    @Autowired
    private WebApplicationContext webApplicationContext;
 
    private MockMvc mockMvc;
 
    @Before
    public void setup() {
        this.mockMvc = MockMvcBuilders.webAppContextSetup(webApplicationContext)
                .apply(springSecurity()).build();
    }
 
    @Test
    public void getModel() throws Exception {
        mockMvc.perform(get("/login").with(httpBasic("admin","admin")))
                .andExpect(authenticated().withRoles("ADMIN"));
    }
}

- Config에 설정해놓았던 admin/admin이 들어오면 "ADMIN"이라는 role이 적용되는지 확인

- 결과(성공)

- 결과(실패)

인가 Test

- 인증된 사용자의 Resource에 대한 인가 처리를 테스트

1. 인증 정보 설정

1) @WithMockUser

- Annotation에 username/password/role 등의 정보를 등록하여 인증 정보로 사용

- @WithMockUser(username = "admin", password = "admin", roles = "ADMIN")

2) @WithUserDetails

- Annotation에 지정된 username에 대응하는 UserDetails를 DI Container에 등록된 UsesrDetailsService에서 가져옴

- @WithUserDetails("admin")

2. Test

@Test
@WithMockUser(username = "admin", password = "admin", roles = "ADMIN")
public void getGet() throws Exception {
    mockMvc.perform(get("/sample/"))
            .andExpect(status().isOk())
            .andExpect(content().string(objectMapper.writeValueAsString("sample")));
}

- @WithMockUser를 사용하여 username/password/role 지정

- Controller에 @PreAuthorize로 role만 지정해놓았기 때문에 role만 지정해도 테스트 통과

- 결과(성공)

- 결과(실패)

Csrf Test

- Csrf 기능 활성화된 상태로 post 요청을 테스트할 때 유효한 CSRF Token 값을 넣어 테스트해야함

- csrf()를 사용하여 유효한 token처럼 테스트할 수 있음

@RunWith(SpringRunner.class)
@ContextConfiguration(classes = {WebMvcConfig.class, WebSecurityConfig.class})
@WebAppConfiguration
public class TestCsrfController {
    @Autowired
    private WebApplicationContext webApplicationContext;
 
    @Autowired
    private ObjectMapper objectMapper;
    private MockMvc mockMvc;
 
    @Before
    public void setup() {
        this.mockMvc = MockMvcBuilders.webAppContextSetup(webApplicationContext)
                .apply(springSecurity()).build();
    }
 
    @Test
    public void create() throws Exception {
        TestModel testModel = new TestModel();
        testModel.setId("tester");
        testModel.setName("tester");
        mockMvc.perform(post("/csrf/create")
                .content(objectMapper.writeValueAsString(testModel))
                        .contentType(MediaType.APPLICATION_JSON)
                        .with(csrf()))
                .andExpect(status().isOk())
                .andExpect(content()
                        .string(objectMapper.writeValueAsString(testModel)));
 
    }
}

- post요청으로 TestModel을 보내주고 해당 TestModel을 받는 controller를 테스트

- with(csrf())로 유효한 csrf token을 사용하는 것처럼 테스트

- 결과(성공)

- 결과(실패)