spring security

[Spring Security] 스프링 시큐리티 주요 아키텍쳐 3 - 인가(Authorization)

이번 포스팅은 인가에 대해 정리해보았습니다. 인가는 스프링 시큐리티에서 요청을 심사하는데 마지막 관문입니다. 만약 스프링 시큐리티의 인증 아키텍쳐/프로세스에 대해 모르신다면, 앞선 포스팅을 먼저 보고 오시면 더 좋습니다. [Spring Security] 스프링 시큐리티 주요 아키텍쳐 2 - 인증(Authentication) Spring Security에서는 인증과 인가를 구분해 처리해주고 있는데요, 이번 포스팅에서는 인증 관련 아키텍쳐를 알아보도록하겠습니다. 처음 접하시는 분이라면 인증과 인가가 무엇인지, 어떤 차이가 logical-code.tistory.com 인가 (Authorization) 스프링 시큐리티가 지원하는 권한 계층 웹 계층 : URL 요청에 따른 메뉴 혹은 화면 단위의 레벨 보안 서비스..

[Spring Security] 스프링 시큐리티 주요 아키텍쳐 2 - 인증(Authentication)

Spring Security에서는 인증과 인가를 구분해 처리해주고 있는데요, 이번 포스팅에서는 인증 관련 아키텍쳐를 알아보도록하겠습니다. 처음 접하시는 분이라면 인증과 인가가 무엇인지, 어떤 차이가 있는지 모르실텐데요. 이 둘의 차이는 아래와 같습니다. 인증(Authentication) 사용자가 누구인지 확인하는 절차 예) 사용자가 카페 회원인지 확인 인가(Authorization) 사용자가 요청을 실행할 수 있는 권한이 있는지 확인하는 절차 예) 사용자가 카페 게시판에 게시글을 작성할 수 있는 등급인지 확인 혹시 Spring Security의 필터 기반 동작 방식 혹은 DelegatingFilterProxy와 FilterChainProxy를 모르신다면? 이전 포스팅을 먼저 보시길 바랍니다! [Sprin..

[Spring Security] 스프링 시큐리티 주요 아키텍쳐 1 - DelegatingFilterProxy, FilterChainProxy

이번 포스팅에서는 스프링 시큐리티의 주요 아키텍쳐 중 DelegatingFilterProxy와 FilterChainProxy를 정리하겠습니다. DelegatingFilterProxy Servlet Filter는 Servlet 스펙이기 때문에 스프링에서 정의된 빈을 주입받아 사용할 수 없습니다. 하지만 보안 정책을 정의하고 사용자 저장소, 기타 등등 여러 위치에서 빈 주입이 반드시 필요합니다. 때문에 스프링 시큐리티는 DelegatingFilterProxy를 통해 서블릿 컨테이너에서 필터로서 요청을 취득하고, 스프링 컨테이너에 존재하는 특정 빈(name = springSecurityFilterChain)을 찾아 요청을 위임합니다. 아래는 DelegatingFilterProxy의 소스코드입니다. (Sprin..

스프링 시큐리티 ① : 기본 설정

스프링 시큐리티 ① : 기본 설정스프링 시큐리티는 필터 기반으로 인증과 권한을 통해 강력한 보안을 제공한다. 그 중 DelegatingFilterProxy 는 스프링 애플리케이션 컨텍스트에 위임된 필터 빈을 처리하기 위한 프록시 필터로써 스프링 프레임워크 기반의 웹 애플리케이션에서 서블릿 필터 라이프 사이클과 연계해 스프링 빈 의존성을 서블릿 필터에 바인딩하는데 사용된다. 아래 기본 설정을 해두면 스프링에서 제공하는 10개의 시큐리티 필터가 자동으로 등록된다. 이 때 10개의 필터는 아래와 같다.00 시큐리티 필터 필터 설명 SecurityContextPersistenceFilter SecurityContextRepository에서 SecurityContext를 로드하고 저장하는 일을 담당함 Logout..