반응형
스프링 시큐리티가 어떻게 동작하는지 궁금해서 알아봤다.
1. 최상위 필터 인터페이스인 SecurityFilterChain 확인
package org.springframework.security.web;
import java.util.List;
import jakarta.servlet.Filter;
import jakarta.servlet.http.HttpServletRequest;
/**
* Defines a filter chain which is capable of being matched against an
* {@code HttpServletRequest}. in order to decide whether it applies to that request.
* <p>
* Used to configure a {@code FilterChainProxy}.
*
* @author Luke Taylor
* @since 3.1
*/
public interface SecurityFilterChain {
boolean matches(HttpServletRequest request);
List<Filter> getFilters();
}
- getFilters() 메소드에 디버그를 찍고 프로젝트를 실행시켰다. 그랬더니 아래의 DefaultSecurityFilterChain 코드로 이동했다.
public final class DefaultSecurityFilterChain implements SecurityFilterChain {
private static final Log logger = LogFactory.getLog(DefaultSecurityFilterChain.class);
private final RequestMatcher requestMatcher;
private final List<Filter> filters;
public DefaultSecurityFilterChain(RequestMatcher requestMatcher, Filter... filters) {
this(requestMatcher, Arrays.asList(filters));
}
public DefaultSecurityFilterChain(RequestMatcher requestMatcher, List<Filter> filters) {
if (filters.isEmpty()) {
logger.info(LogMessage.format("Will not secure %s", requestMatcher));
}
else {
logger.info(LogMessage.format("Will secure %s with %s", requestMatcher, filters));
}
this.requestMatcher = requestMatcher;
this.filters = new ArrayList<>(filters);
}
public RequestMatcher getRequestMatcher() {
return this.requestMatcher;
}
@Override
public List<Filter> getFilters() {
return this.filters;
}
@Override
public boolean matches(HttpServletRequest request) {
return this.requestMatcher.matches(request);
}
@Override
public String toString() {
return this.getClass().getSimpleName() + " [RequestMatcher=" + this.requestMatcher + ", Filters=" + this.filters
+ "]";
}
}- 여기서 getFilters()가 동작했다. → 인터페이스의 구현체로 여기가 선택되었다.
@Override
public List<Filter> getFilters() {
return this.filters;
}- 이제 디버깅을 확인했더니 아래 사진과 같이 필터가 15개 연결되어있는것을 확인했다.
2. 각 필터별 확인
- DisableEncodeUrlFilter :
- 이 필터는 URL 인코딩을 비활성화한다.
- URL 인코딩은 일반적으로 보안을 강화하기 위해 사용되지만, 특정 상황에서는 불필요할 수 있다.
- WebAsyncManagerIntegrationFilter:
- 이 필터는 비동기 요청과 SecurityContext를 통합한다.
- 비동기 작업에서도 보안 컨텍스트가 유지되도록 도와준다.
- SecurityContextHolderFilter:
- SecurityContext의 초기화 및 정리를 수행한다.
- 이 필터가 없으면 보안 컨텍스트는 초기화되지 않을 수 있다.
- CorsFilter:
- 이 필터는 CORS 설정을 처리한다.
- 이는 다른 도메인에서 리소스를 안전하게 요청할 수 있도록 해준다.
- LogoutFilter:
- 로그아웃 요청을 처리하고, 성공한 후의 작업(세션 무효화, 쿠키 삭제 등)을 수행한다.
- CustomAuthenticationFilter:
- 사용자 지정 인증 필터로, 사용자 인증 작업을 담당한다.(직접 커스텀)
- JwtAuthorizationFilter:
- JWT 인증을 처리하는 필터이다.(직접 만든것)
- JWT 인증을 처리하는 필터이다.(직접 만든것)
- UsernamePasswordAuthenticationFilter:
- 기본적으로 사용자 이름과 비밀번호를 통한 인증 요청을 처리한다.
- RequestCacheAwareFilter:
- 인증 전 요청을 캐시하여 인증 후 원래의 요청으로 리다이렉트할 수 있게 한다.
- SecurityContextHolderAwareRequestFilter:
- 현재 요청과 SecurityContext를 통합한다. 이를 통해 권한이나 인증 정보에 쉽게 접근할 수 있다.
- AnnonymousAuthenticationFilter:
- 인증되지 않은 사용자에 대해 익명 인증을 제공한다. 이로써 모든 요청에 인증 객체가 있게 된다.
- SessionManagementFilter:
- 세션 고정 보호, 세션 타임아웃, 동시 세션 제어 등 세션 관련 보안 기능을 제공한다.
- ExceptionTranslationFilter:
- 보안 예외가 발생하면 적절한 처리(예: 리다이렉트, 에러 메시지 등)를 수행한다.
- AuthorizationFilter:
- 사용자의 권한을 확인하여 특정 리소스에 대한 접근을 허용하거나 거부한다.
2023.10.21 - [SpringBoot 개발/Spring Security] - Spring Security6 - Authentication(인증)
Spring Security6 - Authentication(인증)
1. 인증 관련 주요 클래스와 인터페이스 및 동작원리 Authentication: 인증 요청과 인증된 주체를 나타내는 인터페이스이다. AuthenticationManager: 실제로 인증을 처리하는 인터페이스이다. UserDetailsService
curiousjinan.tistory.com
Spring Boot 3.1과 Spring Security 6 시작하기: JWT 로그인 폼 구현 (1편)
시큐리티를 구현하기 전에 JWT 토큰이 뭔지에 대해 먼저 알고 넘어가자 1. JWT란 JWT (JSON Web Token)는 웹에서 정보를 안전하게 전송하기 위한 컴팩트하고 독립적인 방식을 제공하는 토큰이다. JWT는
curiousjinan.tistory.com
반응형
'Spring > Spring Security' 카테고리의 다른 글
| Spring Boot 3.1 & Spring Security 6: Security Config 최적화 리팩토링 (12편) (0) | 2023.09.04 |
|---|---|
| Spring Boot 3.1 & Spring Security 6: JWT 검증 리팩토링 (11편) (2) | 2023.09.04 |
| Spring Boot 3.1 & Spring Security 6: 로그인 프로세스 및 JWT 토큰 동작 설명 (10편) (0) | 2023.08.08 |
| Spring Boot 3.1 & Spring Security 6: 로그인 & 메인 페이지 컨트롤러 (9편) (0) | 2023.08.08 |
| Spring Boot 3 & Security 6 시리즈: UserDetailsService, DTO 작성하기 (8편) (0) | 2023.08.07 |