Downloaded 246 times
![[Final] ReactJS presentation](https://cdn.slidesharecdn.com/ss_thumbnails/65cfd4f9-740f-4f41-b769-b496b6e60802-170119143904-thumbnail.jpg?width=640&height=640&fit=bounds)
![[네이버오픈소스세미나] Next Generation Spring Security OAuth2.0 - 이명현](https://cdn.slidesharecdn.com/ss_thumbnails/springsecurityoauth2-180905043902-thumbnail.jpg?width=640&height=640&fit=bounds)
![[Nsb] kisa 세미나자료 2016_11_17](https://cdn.slidesharecdn.com/ss_thumbnails/nsbkisa20161117-161122082554-thumbnail.jpg?width=640&height=640&fit=bounds)
Spring camp 발표자료
- 1.
- 2.
- 3.
- 4.
- 5.
- 6.
- 7.
- 8.
- 9.
- 10.
- 11.
- 12.
- 13.
- 14.
- 15.
- 16.
- 17.
- 18.
- 19.
- 20.
- 21.
- 22.
- 23.
- 24.
- 25.
- 26.
- 27.
- 28.
- 29.
- 30.
- 31.
- 32.
- 33.
- 34.
- 35.
- 36.
- 37.
- 38.
- 39.
- 40.
- 41.
- 42.
- 43.
- 44.
- 45.
- 46.
- 47.
- 48.
- 49.
- 50.
- 51. case) • 구축된 프레임워크의 재활용과기존 Spring 기반 의 레거시 시스템에 적용할 때 유용 3
- 52. Spring Security 기본적인 설정 http pattern=/resources/** security=none/ http use-expressions=true intercept-url pattern=/member/** access=hasRole('member')/ intercept-url pattern=/school/** access=isAuthenticated() / intercept-url pattern=/** access=permitAll / form-login/ logout logout-url=/logout logout-success-url=// remember-me / /http authentication-manager alias=authenticationManager authentication-provider user-service user name=member password=test authorities=member / user name=user password=user authorities=user / /user-service /authentication-provider /authentication-manager Authorization
- 53.
- 54.
- 55.
- 56.
- 57.
- 58.
- 59.
- 60.
- 61.
- 62.
- 63.
- 64.
- 65.
- 66.
- 67.
- 68.
- 69.
- 70.
- 71.
- 72.
- 73.
- 74.
- 75.
- 76.
- 77.
- 78.
- 79.
- 80.
- 81.
- 82.
- 83.
- 84.
- 85.
- 86.
- 87.
- 88.
- 89.
- 90.
- 91.
- 92.
- 93.
- 94.
- 95.
- 96. 하지만 Spring Security Filter chain 컨트롤 할 수 있으면 당신은 Security Master!!! 11
- 97.
- 98.
- 99.
- 100.
- 101.
- 102.
- 103.
- 104.
- 105.
- 106.
- 107.
- 108.
- 109.
- 110.
- 111. Database 연동을 위한 Custom Tag 제공 authentication-manager authentication-provider !--user-service !-- 인메모리 부분 제거 -- user name=member password=test authorities=member / user name=user password=user authorities=user / /user-service-- jdbc-user-service data-source-ref=datasource객체 users-by-username-query=username으로 사용자 정보를 가져오는 쿼리 authorities-by-username-query=username으로 사용자 권한 정보를 가져 오는 쿼리/ /authentication-provider /authentication-manager 17
- 112.
- 113.
- 114.
- 115.
- 116.
- 117.
- 118.
- 119.
- 120.
- 121.
- 122.
- 123.
- 124.
- 125.
- 126.
- 127.
- 128.
- 129.
- 130.
- 131.
- 132. } 변경 Request Flow } } } } 인증 Token타입별로 AuthenticationProvider 선택 } class
- 133.
- 134.
- 135.
- 136.
- 137.
- 138.
- 139.
- 140.
- 141.
- 142.
- 143.
- 144.
- 145.
- 146.
- 147.
- 148.
- 149.
- 150.
- 151.
- 152.
- 153.
- 154.
- 155.
- 156.
- 157.
- 158.
- 159.
- 160.
- 161.
- 162.
- 163.
- 164.
- 165.
- 166.
- 167.
- 168.
- 169.
- 170.
- 171.
- 172.
- 173.
- 174.
- 175.
- 176.
- 177.
- 178.
- 179.
- 180.
- 181.
- 182.
- 183.
- 184.
- 185.
- 186.
- 187.
- 188.
- 189.
- 190.
- 191.
- 192.
- 193.
- 194.
- 195.
- 196.
- 197.
- 198.
- 199.
- 200.
- 201.
- 202.
- 203.
- 204.
- 205.
- 206.
- 207.
- 208. Spring security OAuth 2 연동 설정 Spring Security OAuth2를 사용한 페이스북 Client설정 !--
- 209.
- 210.
- 211.
- 212.
- 213.
- 214.
- 215.
- 216.
- 217.
- 218.
- 219. oauth:resource id=facebook type=authorization_code client-id=.. client-secret=... access-token-uri=https://graph.facebook.com/oauth/access_token user-authorization-uri=https://www.facebook.com/dialog/oauth ... / 페이스북 개발자 사이트 https://developers.facebook.com/ OAuth
- 220.
- 221.
- 222.
- 223.
- 224.
- 225.
- 226.
- 227.
- 228.
- 229.
- 230.
- 231.
- 232.
- 233.
- 234.
- 235.
- 236.
- 237.
- 238.
- 239.
- 240.
- 241.
- 242.
- 243. get bean id=facebookService class=...FacebookServiceImpl property name=facebookRestTemplate ref=facebookRestTemplate / property name=profileUri value=인증정보를 가져오는 URI / /bean 25
- 244. 페이스북 API 호출 Spring
- 245.
- 246.
- 247.
- 248.
- 249.
- 250. public class FacebookServiceImpl //중략 private String profileUri; private RestTemplate facebookRestTemplate; // 중략 사용자정보
- 251.
- 252.
- 253. 통신 @Override public FacebookUser findUser(){ FacebookUser facebookUser = facebookRestTemplate.getForObject( profileUri, FacebookUser.class); return facebookUser; } } 26
- 254. OAuth 2.0과 연동 완료! 27
- 255. 페이스북 인증 Filter Flow 페이스북
- 256.
- 257.
- 258.
- 259.
- 260.
- 261.
- 262.
- 263.
- 264.
- 265.
- 266.
- 267.
- 268.
- 269.
- 270.
- 271.
- 272.
- 273.
- 274.
- 275.
- 276.
- 277.
- 278.
- 279.
- 280.
- 281.
- 282.
- 283.
- 284.
- 285.
- 286.
- 287.
- 288.
- 289.
- 290.
- 291.
- 292.
- 293.
- 294.
- 295.
- 296.
- 297.
- 298.
- 299.
- 300.
- 301.
- 302.
- 303.
- 304.
- 305.
- 306.
- 307.
- 308.
- 309.
- 310.
- 311.
- 312.
- 313.
- 314.
- 315.
- 316.
- 317.
- 318.
- 319.
- 320.
- 321.
- 322.
- 323.
- 324.
- 325.
- 326.
- 327.
- 328.
- 329.
- 330.
- 331.
- 332.
- 333.
- 334.
- 335.
- 336.
- 337.
- 338. 페이스북 인증 Filter publicclass 페이스북인증Filter extends AbstractAuthenticationProcessingFilter{ public 페이스북인증Filter() { // 중략 public 페이스북인증Filter() { super(/facebook_login); super(/facebook_login); //
- 339.
- 340.
- 341.
- 342.
- 343.
- 344.
- 345. 오 요청이 오면진행! } } //
- 346.
- 347.
- 348. 메소드 public Authentication attemptAuthentication(...)throws ... { 페이스북인증토큰 authRequest = new 페이스북인증토큰() 페이스북인증토큰 authRequest = new 페이스북인증토큰() // 중략 // 중략 return this.getAuthenticationManager().authenticate(authRequest); return this.getAuthenticationManager() } // 중략.authenticate(authRequest); } 31
- 349. 페이스북 인증 Provider public class 페이스북인증Provider implements AuthenticationProvider { private 페이스북Service facebookService; // 중략 ... private 페이스북Service facebookService; // 중략 @Override FacebookUser user = facebookService.findUser(); public Authentication authenticate(Authentication authentication) throws AuthenticationException { CollectionGrantedAuthority authorities = generateAuthorities(); // Facebook API에서 사용자 정보를 가져온다. FacebookUser user = facebookService.findUser(); // 사용자 정보를 가져온 토대로 인증 Token을 생성한다. FacebookAuthenticationToken token = new FacebookAuthenticationToken( user.getName(), null, authorities); token.setDetails(user); return token; FacebookAuthenticationToken token = new FacebookAuthenticationToken( user.getName(), null, authorities); token.setDetails(user); } // 중략 ... } 32
- 350. 페이스북 인증 Filter 위치 !-- OAuth 2.0 Client를 연동 시키기 위한 Filter 생성 -- oauth:client id=oauth2ContextClientFilter/ http custom-filter ref=oauth2ContextClientFilter after=EXCEPTION_TRANSLATION_FILTER/ custom-filter ref=facebookAuthenticationFilter before=FILTER_SECURITY_INTERCEPTOR/ ... http 도식화 ExceptionTranslationFilter 순서 중요 !! oauth2ClientContextFilter 페이스북인증Filter FilterSecurityInterceptor 33
- 351.
- 352.
- 353.
- 354.
- 355.
- 356.
- 357.
- 358.
- 359.
- 360.
- 361.
- 362.
- 363.
- 364.
- 365.
- 366.
- 367.
- 368.
- 369.
- 370.
- 371.
- 372.
- 373.
- 374.
- 375.
- 376.
- 377.
- 378.
- 379.
- 380.
- 381.
- 382.
- 383.
- 384.
- 385.
- 386.
- 387.
- 388.
- 389.
- 390.
- 391.
- 392.
- 393.
- 394.
- 395.
- 396.
- 397.
- 398.
- 399.
- 400.
- 401.
- 402.
- 403.
- 404.
- 405.
- 406.
- 407. URL 권한 정보 intercept-urlpattern=/member/** access=hasRole('member')/ intercept-url pattern=/school/** access=isAuthenticated() / intercept-url pattern=/** access=permitAll / ... •사용자(User)가
- 408.
- 409.
- 410.
- 411.
- 412.
- 413.
- 414.
- 415.
- 416.
- 417.
- 418.
- 419.
- 420.
- 421.
- 422.
- 423.
- 424.
- 425.
- 426.
- 427.
- 428.
- 429.
- 430. 기본 설정으로 확장이 불가능! 39
- 431. URL 권한 데이타 전환 권한
- 432.
- 433. Filter FilterSecurityInterceptor FilterInvocationSecurityMetadataSource intercept-url pattern=/member/ ** access=hasRole('member')/ intercept-urlpattern=/school/ ** access=isAuthenticated() / intercept-url pattern=/** access=permitAll / ... DB전환 40
- 434. URL 권한 정보 DB연동 Flow Request
- 435.
- 436.
- 437.
- 438.
- 439.
- 440.
- 441.
- 442.
- 443.
- 444.
- 445.
- 446.
- 447. 커스텀 권한 Filter를 추가 해보자 1 1. 추가할 Filter를 생성 bean id=jdbcFilterSecurityInterceptor class=org.springframework.security.web.access.intercept .FilterSecurityInterceptor / 2. URL권한 정보를 관리하는 Class를 Customizing 여기서 예제는 expression 을 사용하는 SecurityMetadataSource 클래스를 이용 42
- 448. 커스텀 권한 Filter를 추가 해보자 2 3. Simple한 DB구조 ( table명 : auth_meta ) id path expression ordering 1 /member/** hasRole('member') 10 2 /school/** isAuthenticated() 20 ... ... id: seq ( PK ) path: varchar expression: varchar ordering: number ... ... -
- 449.
- 450.
- 451.
- 452.
- 453.
- 454.
- 455.
- 456.
- 457.
- 458.
- 459.
- 460.
- 461.
- 462. DB SecurityMetadataSource Flow FilterInvocationSecurityMetadataSource Spring Security 내부에서 사용 하는 인터 페이스 전환 후 전달 URL 권한 객체 요청 AuthorizationMetaService DB 쿼리 URL 권한 데이터 전송 DB 44
- 463. public class JdbcExpressionFilterInvocationDefinitionSourceFactoryBeanimplements FactoryBeanExpressionBasedFilterInvocationSecurityMetadataSource { private AuthorizationMetaService authorizationMetaService; ... public ExpressionBasedFilterInvocationSecurityMetadataSource getObject() { private 권한메타Service 권한메타MetaService; return new ExpressionBasedFilterInvocationSecurityMetadataSource( // 중략 ...this.executeResourceMap(), newString resourceMap = // DB에서 가져오기 MapString, DefaultWebSecurityExpressionHandler()); } authorizationMetaService.findAllAuthMetaData(); protected LinkedHashMapRequestMatcher, CollectionConfigAttribute executeResourceMap() { LinkedHashMapRequestMatcher, CollectionConfigAttribute MapString, String resourceMap = authorizationMetaService.findAllAuthMetaData(); LinkedHashMapRequestMatcher, CollectionConfigAttribute requestMap = requestMap = //... 중략 //... 중략 for (Map.EntryString, String entry : resourceMap.entrySet()) { for (Map.EntryString, String entry : resourceMap.entrySet()) { // 중략 ... ( Spring Security에서 사용하는 포멧으로 변경 ) // 중략 ... ( Spring Security 내부 인터페이스로 Converting ) requestMap.put(matcher, attrList); requestMap.put(matcher, attrList); } } return requestMap; } return requestMap; ... 45
- 464. jdbcFilterSecurityIntercept ExpressionBasedFilterInvocationSecurityMetadataSource LinkedHashMapRequestMatcher, CollectionConfigAttribute ... property로셋팅 bean id=jdbcFilterSecurityInterceptor class=...FilterSecurityInterceptor property name=securityMetadataSource ref=jdbcInvocationDefinitionSource/ /bean bean id=jdbcInvocationDefinitionSource class=...JdbcExpressionFilterInvocationDefinitionSourceFactoryBean constructor-arg index=0 ref=authorizationMetaService/ /bean 46
- 465. JdbcFilterSecurityInterceptor http ... custom-filter ref=JdbcFilterSecurityInterceptor before=FILTER_SECURITY_INTERCEPTOR/ ... http 도식화 ExceptionTranslationFilter 순서 중요 !! JdbcFilterSecurityInterceptor FilterSecurityInterceptor 47
- 466. 여기서 팁!! JdbcFilterSecurityInterceptor + intercept-urlpattern=/member/** access=hasRole('member')/ intercept-url pattern=/school/** access=isAuthenticated() / intercept-url pattern=/** access=permitAll / ... = http once-per-request=true ... /http 48
- 467.
- 468.
- 469.
- 470.
- 471.
- 472.
- 473.
- 474.
- 475.
- 476.
- 477.
- 478.
- 479.
- 480.
- 481.
- 482.
- 483.
- 484.
- 485.
- 486.
- 487.
- 488.
- 489.
- 490.
- 491.
- 492.
- 493.
- 494.
- 495.
- 496.
- 497.
- 498.
- 499.
- 500.
- 501.
- 502.
- 503.
- 504.
- 505.
- 506.
- 507.
- 508.
- 509.
- 510.
- 511.
- 512.
- 513.
- 514.
- 515.
- 516.
- 517.
- 518.
- 519.
- 520.
- 521.
- 522.
- 523.
- 524.
- 525.
- 526.
- 527.
- 528.
- 529.
- 530.
- 531.
- 532.
- 533.
- 534.
- 535.
- 536.
- 537.
- 538. Spring Security 주요 Filter order list 1. SecurityContextPersistenceFilter - SecurityContext 즉 사용자 인증 및 권한 정보를 저장할 위치를 지정 (기본 설정: HttpSession ) - http 태그의 ”security-context-repository-ref” 속성으로 확장 가능 2. ConcurrentSessionFilter - 현재 Session이 유효여부를 파악하여 유효하지 않는 세션에 대한 후처리 - 유효하지 않은 경우는 보통 동시접속자가 발생하여 해당 세션이 무효화 및 Session 유효시간 지나는 등의 문제가 발생할 때 무효화 처리 - SessionManagementFilter와 연동 처리 3. LogoutFilter - 특정 URI(기본:/j_spring_security_logout)를 체크하여 Logout을 실행 - Logout을 할 때 처리(LogoutHandler) - Logout 성공 후 처리(LogoutSuccessHandler) 53
- 539. Spring Security 주요 Filter order list 4. UsernamePasswordAuthenticationFilter - 특정 URI(기본: /j_spring_security_check)에서 Username (보통ID), Password를 통한 인증 프로세스를 진행 - 인증(Login)프로세스 관련 부분은 AuthenticationManager에게 위임 - 인증 성공(SuccessHandler) 및 실패(FailureHandler) 후처리 등을 진행 - SpringSecurity에서 가장 핵심적이면서 많은 확장 포인트가 존재 5. RequestCacheAwareFilter - 인증 성공 후 기존 요청을 찾아가기 위해 기존 요청을 저장하기 위해 사용 - 기본 적으로 Session을 사용한다. 54
- 540. Spring Security 주요 Filter order list 6. SecurityContextHolderAwareRequestFilter - Servlet Api에서 HttpServletRequest 의 “getRemoteUser”, “getUserPrincipal”, “isUserInRole”, ”isGranted” 메소드를 Spring Security 인증, 및 권한된 정보에 맞도록 Overriding - http 태그의 “servlet-api-provision” 속성이 true일때 활성화 (기본값: true) 7. RememberMeAuthenticationFilter - RememberMe란? 보통 한번 인증 후 다시 해당 조건에 만족 되면 인증 정보가 필요 없이 자동으로 로그인 - 이 Filter는 해당 요청이 RememberMe 조건에 맞으면 자동으로 인증 (기본값은 특 정cookie값이 존재할 때) - RememberMe 프로세스 순서 (1) UsernamePasswordAuthenticationFilter에서 인증 후 해당 인증값 바탕으로 암호화 된 Cookie기록 (2) RememberMe 요청 조건에 맞는 요청시 해당 조건(기본 Cookie)를 기초로 인증 (3) Logout시 해당 쿠키를 제거 55
- 541. Spring Security 주요 Filter order list 8. AnonymousAuthenticationFilter - 이 Filter의 순서가 될때까지 인증이 되지 않았다면 익명의 사용자를 추가 - 기본적으로 인증을 받지않은 사용자도 내부적으로 기본“익명의”사용자로 판단 - 기본값 username: “anonymousUser”, role: “ROLE_ANONYMOUS” - http 태그 안의 anonymous 태그와 관련 9. SessionManagementFilter - Session 정보의 보안 및 동시 접속 등 전반적인 Session 추적 및 정보 관리 - 로그인시 기존 Session 존재할 시 기존 세션을 무효화 하고 새롭게 생성할 것 인지 무조건 새로운 세션 추가 할 것인지 등 처리 - 동시 접속자를 허용할지, 몇 명까지 허용할 것인지 여부, 허용하지 않거나 허용된 Session의 수가 넘었을 때 처리 ( Session 무효화 처리 ) - http의 “create-session” 속성 및 내부 session-management 태그 와 관련 56
- 542. Spring Security 주요 Filter order list 10. ExceptionTranslationFilter - 이 Filter는 현재 이 Filter 이후의 모든 Process 내부에서 발생한 ”AuthenticationException”(인증 Exception), “AccessDeniedException”(권한 Exception) 찾아내어 처리 - http의 “entry-point-ref”, “access-denied-page”와 내부 accessdenied-handler 태그와 관련 11. FilterSecurityInterceptor - 권한 프로세스를 처리하는 Filter부분으로 실질적인 처리는 부모 Class인 “AbstractSecurityInterceptor” 에서 대부분을 처리 - 내부 권한처리는 AccessDecisionManager Class를 통해 진행 - 권한 관련 메타 정보는 FilterInvocationSecurityMetadataSource 인터페이 스 기반 Class에서 관리 - 기본은 http 내부의 intercept-url 태그의 내용을 기준으로 권한을 처리 - http의 “access-decision-manager-ref”, “once-per-request“ 속성과 내부의 intercept-url 태그와 관련 57