Spring camp 발표자료

1. Spring

2. Security

3. 활용과

4. 사례

5. KSUG 이수홍 sbcoba@gmail.com 1

6. 목차

7. Spring

8. Security

9. 소개

10. Spring

11. Security

12. Architecture

13. 요구사항1

14. (인증정보

15. DB로

16. 관리하기)

17. 요구사항2

18. (페이스북

19. 인증

20. 연동하기)

21. 요구사항3

22. (URL권한정보

23. DB로

24. 관리하기) 2

25. Spring Security? •Spring

26. Framework

27. 기반

28. 인증,

29. 권한프레임워크 •구현은

30. Servlet

31. Filter

32. 및

33. Spring

34. AOP

35. 기반 •유연한

36. 설계로

37. 다양한

38. 확장

39. 및

40. 커스터마이징

41. 가능 •비지니스

42. 로직과

43. 인증,

44. 권한

45. 로직을

46. 90%(?)이상

47. 분 리

48. 가능

49. (Case

50. by

51. case) • 구축된 프레임워크의 재활용과 기존 Spring 기반 의 레거시 시스템에 적용할 때 유용 3

52. Spring Security 기본적인 설정 http pattern=/resources/** security=none/ http use-expressions=true intercept-url pattern=/member/** access=hasRole('member')/ intercept-url pattern=/school/** access=isAuthenticated() / intercept-url pattern=/** access=permitAll / form-login/ logout logout-url=/logout logout-success-url=// remember-me / /http authentication-manager alias=authenticationManager authentication-provider user-service user name=member password=test authorities=member / user name=user password=user authorities=user / /user-service /authentication-provider /authentication-manager Authorization

53. 권한정보 Authentication

54. 인증정보 4

55. 실행!!! 5

56. 끝 6

57. 그럴리가 없겠죠? 7

58. 우리는 ... •로그인

59. 페이지

60. 변경 •인증

61. 성공

62. 및

63. 인증실패에

64. 대한

65. 후처리 •권한실패

66. 및

67. 접근실패

68. 처리

69. 다양화 •인증

70. 정보의

71. 외부화 •자동로그인

72. 여부 8

73. 끝이 없이 .. •동시

74. 로그인

75. 및

76. 세션

77. 제어

78. •로그인

79. 방법

80. 다양화 •LDAP을

81. 통한

82. Login •SSO를

83. 통한

84. Login •OAuth

85. 및

86. 소셜

87. 로그인

89. 페이스북,

90. 트위터

91. 등

92. ) •그

93. 외

94. 등등 9

95. 10

96. 하지만 Spring Security Filter chain 컨트롤 할 수 있으면 당신은 Security Master!!! 11

97. Spring Security Architecture Spring

98. Security

99. Filter

100. Chain 분리 보호

101. 받는

102. Resource 12

103. Spring Security Architecture 13

104. 비지니스 요구!? 14

105. 요구사항 1 인증(Authentication)

106. 정 보를

107. Database로

108. 관리해

109. 주세요! 15

110. 기본설정으로 지원! 16

111. Database 연동을 위한 Custom Tag 제공 authentication-manager authentication-provider !--user-service !-- 인메모리 부분 제거 -- user name=member password=test authorities=member / user name=user password=user authorities=user / /user-service-- jdbc-user-service data-source-ref=datasource객체 users-by-username-query=username으로 사용자 정보를 가져오는 쿼리 authorities-by-username-query=username으로 사용자 권한 정보를 가져 오는 쿼리/ /authentication-provider /authentication-manager 17

112. class

113. UsernamePasswordAuthenticationFilter

114. { UsernamePasswordAuthenticationToken

115. 발행

116. class

117. AuthenticationManager

118. { class

119. ProviderManager

120. { Token 전달 class

121. XxxAuthenticationProvider

122. { class

123. X ... class

124. xxAuthenticationProvider

125. { { DaoAuthenticationProvider

126. ... class

127. UserService

128. { class

129. InMemoryDao...

130. {

131. ...

132. } 변경 Request Flow } } } } 인증 Token 타입별로 AuthenticationProvider 선택 } class

133. JdbcUserDetails...

134. {

135. ...

136. } } } 18

137. JDBC 인증 Flow Login

138. 요청 Login

139. 결과

140. 응답 인증

141. 데이타

142. 요청

143. DB 인증데이타 Filter1 Filter2 . . . Jdbc

144. 인증

145. Filter . . . Filter3 응답(response) 요청(request) 사용자 WAS Filter4 Servlet

146. (

147. Spring

148. mvc

149. ) 19

150. 결론 내부

151. 지원

152. -

153. 쉽게연동

154. 20

155. 요구사항 2 인증(Authentication)

156. 하는

157. 부분을

158. 다각화

159. 해주세요 최근

160. 많이

161. 하는

162. 페이스북

163. 인 증과

164. 연동이

165. 필요합니다. 21

166. 연동

167. 하기

168. 위해서는? 1.

169. Open

170. API 인증정보를

171. 2.

172. OAuth

173. 2.0 을

174. 통해

175. 가져와서

176. 3.

177. Spring

178. Security 시스템에

179. 적용

181. 22

182. 페이스북 인증 Flow Facebook

183. Login

184. 요청 en ok ssT e cc A 페이스북

185. 로그인 청

186. 요 n) 보

187. 정 Toke 용자 cess 사 c A

188. (+ 사용 정 자

189. (JS 보 N) O Filter1 . . . Filter2 OAuth2ClientContextFilter . . . 인증

190. 예외

191. 응답(response) 페이스북 Login

192. 결과

193. 응답 요청(request

194. +

195. Token) 요청(request) 사용자 WAS 페이스북인증필터 발생

196. Filter3 !! Servlet

197. (

198. Spring

199. mvc

200. ) 23

201. OAuth2.0 연동 Oauth2.0

202. 인증

203. 부분은

204. Spring

205. Security

206. OAuth2

207. 사용 http://projects.spring.io/spring-security-oauth/ 24

208. Spring security OAuth 2 연동 설정 Spring Security OAuth2를 사용한 페이스북 Client설정 !--

209. 페이스북

210. OAuth

211. 2.0

212. 설정

213. 정보

214. -- 페이스북

215. OAuth

216. 2.0

217. 인증

218. 관련

219. oauth:resource id=facebook type=authorization_code client-id=.. client-secret=... access-token-uri=https://graph.facebook.com/oauth/access_token user-authorization-uri=https://www.facebook.com/dialog/oauth ... / 페이스북 개발자 사이트 https://developers.facebook.com/ OAuth

220. 2.0

221. 통신

222. 가능한

223. RestTemplate

224. 생성 !--

225. Facebook

226. 서버에

227. 접속하기

228. 위한

229. RestTemplate

230. --

231. oauth:rest-template resource=facebook id=facebookRestTemplate / !--

232. Facebook

233. 에서

234. 데이터를

235. 가져

236. 오기

237. 위한

238. Service

239. -- 페이스북

240. API

241. 접근 사용자

242. 정보

243. get bean id=facebookService class=...FacebookServiceImpl property name=facebookRestTemplate ref=facebookRestTemplate / property name=profileUri value=인증정보를 가져오는 URI / /bean 25

244. 페이스북 API 호출 Spring

245. Security

246. OAuth2

247. implements FacebookService{ 형태로

248. 확장된

249. RestTemplate

250. public class FacebookServiceImpl // 중략 private String profileUri; private RestTemplate facebookRestTemplate; // 중략 사용자정보

251. API

252. 호출

253. 통신 @Override public FacebookUser findUser() { FacebookUser facebookUser = facebookRestTemplate.getForObject( profileUri, FacebookUser.class); return facebookUser; } } 26

254. OAuth 2.0과 연동 완료! 27

255. 페이스북 인증 Filter Flow 페이스북

256. 인증

257. Filter 인증

258. 정보

259. 전달 Provider에서

260. 전달

261. 받은

262. 인증

263. 정보를

264. 통해

265. 로그인! 페이스북

266. 인증

267. 토큰

268. 전달

269. (Provider

270. 선택을

271. 위한) 페이스북

272. 인증

273. Provider 페이스북

274. 사용자

275. DTO

276. 전달 페이스북 사용자

277. 정보

278. 요청 사용자

279. 정보

280. API

281. 호출 (OAuth

282. 2.0) 페이스북

283. Service 사용자

284. 정보

285. JSON전달 28

286. class

287. 페이스북

288. Filter

289. { 페이스북

290. 인증

291. 토큰

292. 발행

293. class

295. { class

297. { class

299. { class

300. X ... class

302. { 페이스북Provider

303. { ... class

304. 페이스북Service

305. { Request Flow

306. //

307. 페이스북

308. Open

309. API와

310. } } } } } OAuth2.0으로

312. 연동해서

313. 사용자

314. 정보를

315. 가지고

316. 온다. } 29

317. class

318. UsernamePasswordAuthenticationFilter

319. { UsernamePasswordAuthenticationToken

320. 발행

321. class

323. { class

325. { class

327. { class

328. X ... class

330. { { DaoAuthenticationProvider

331. ... class

332. UserService

333. { Request Flow } } } } } } class

334. JdbcUserDetails...

335. {

336. ...

337. } } 30

338. 페이스북 인증 Filter public class 페이스북인증Filter extends AbstractAuthenticationProcessingFilter{ public 페이스북인증Filter() { // 중략 public 페이스북인증Filter() { super(/facebook_login); super(/facebook_login); //

339. //해당 URI가 면

340. 페이스북

341. 인증을

342. 페이스북 인증을 진행! 해당

343. URI가

344. 요청이

345. 오 요청이 오면 진행! } } //

346. 인증을

347. 진행

348. 메소드 public Authentication attemptAuthentication(...) throws ... { 페이스북인증토큰 authRequest = new 페이스북인증토큰() 페이스북인증토큰 authRequest = new 페이스북인증토큰() // 중략 // 중략 return this.getAuthenticationManager().authenticate(authRequest); return this.getAuthenticationManager() } // 중략.authenticate(authRequest); } 31

349. 페이스북 인증 Provider public class 페이스북인증Provider implements AuthenticationProvider { private 페이스북Service facebookService; // 중략 ... private 페이스북Service facebookService; // 중략 @Override FacebookUser user = facebookService.findUser(); public Authentication authenticate(Authentication authentication) throws AuthenticationException { CollectionGrantedAuthority authorities = generateAuthorities(); // Facebook API에서 사용자 정보를 가져온다. FacebookUser user = facebookService.findUser(); // 사용자 정보를 가져온 토대로 인증 Token을 생성한다. FacebookAuthenticationToken token = new FacebookAuthenticationToken( user.getName(), null, authorities); token.setDetails(user); return token; FacebookAuthenticationToken token = new FacebookAuthenticationToken( user.getName(), null, authorities); token.setDetails(user); } // 중략 ... } 32

350. 페이스북 인증 Filter 위치 !-- OAuth 2.0 Client를 연동 시키기 위한 Filter 생성 -- oauth:client id=oauth2ContextClientFilter/ http custom-filter ref=oauth2ContextClientFilter after=EXCEPTION_TRANSLATION_FILTER/ custom-filter ref=facebookAuthenticationFilter before=FILTER_SECURITY_INTERCEPTOR/ ... http 도식화 ExceptionTranslationFilter 순서 중요 !! oauth2ClientContextFilter 페이스북인증Filter FilterSecurityInterceptor 33

351. 참고 Oauth2ContextClientFilter Spring

352. Security

353. OAuth2

354. 모듈로 OAuth

355. 2.0

356. 통신

357. 할

358. 때

359. 발생한

360. 예외를

361. 처리

362. 하는

363. Filter 보통

364. 주로

365. 사용목적은 인증받지

366. 않은

367. 요청이

368. 왔을

369. 때

370. (미리 저장된)

371. 인증

372. 페이지를

373. 호출!

375. 34

376. Spring

377. Security

378. 인증

379. Flow도

380. 대부분

381. 유사 35

382. 페이스북 인증 예제 •간단한

383. 해당

384. 기능,

385. 불필요한

386. 부분은

387. 생략

388. •Maven

389. 필요 •직접

390. Facebook

391. App을

392. 생성

393. 및

394. 연동

395. 추천! •Github

396. 소스

397. 주소

398. •https://github.com/sbcoba/spring-camp-spring-securitysession 36

399. 요구사항 3 URL

400. 권한

401. (Authorization)

402. 정보를

403. DB

404. 로

405. 관리해

406. 주세요! 37

407. URL 권한 정보 intercept-url pattern=/member/** access=hasRole('member')/ intercept-url pattern=/school/** access=isAuthenticated() / intercept-url pattern=/** access=permitAll / ... •사용자(User)가

408. 가지고

409. 있는

410. “정보”를

411. 가지고

412. 어떤

413. 곳에

414. 접근(Access)할

415. 수

416. 있는지

417. 가지고

418. 있는

419. 정보 •자체

420. 커스터마이징

421. 할

422. 수

423. 있는

424. XML태그가

425. 존재X

426. (SpringSecurity

427. 3.1.4

428. 버전

429. 기준) 38

430. 기본 설정으로 확장이 불가능! 39

431. URL 권한 데이타 전환 권한

432. 관련

433. Filter FilterSecurityInterceptor FilterInvocationSecurityMetadataSource intercept-url pattern=/member/ ** access=hasRole('member')/ intercept-url pattern=/school/ ** access=isAuthenticated() / intercept-url pattern=/** access=permitAll / ... DB전환 40

434. URL 권한 정보 DB연동 Flow Request

435. 요청 결과

436. 응답 요청(request) 사용자 WAS Filter1 . . . Filter2 jdbcFilterSecurityInterceptor 권한

437. Meta

438. Data

439. 요청

440. DB ExpressionBasedFilterInvocatio nSecurityMetadataSource 권한

441. Meta

442. Data 응답(response) ExceptionTranslationFilter FilterSecurityInterceptor Servlet

443. (

444. Spring

445. mvc

446. ) 41

447. 커스텀 권한 Filter를 추가 해보자 1 1. 추가할 Filter를 생성 bean id=jdbcFilterSecurityInterceptor class=org.springframework.security.web.access.intercept .FilterSecurityInterceptor / 2. URL권한 정보를 관리하는 Class를 Customizing 여기서 예제는 expression 을 사용하는 SecurityMetadataSource 클래스를 이용 42

448. 커스텀 권한 Filter를 추가 해보자 2 3. Simple한 DB구조 ( table명 : auth_meta ) id path expression ordering 1 /member/** hasRole('member') 10 2 /school/** isAuthenticated() 20 ... ... id: seq ( PK ) path: varchar expression: varchar ordering: number ... ... -

449. Query SELECT

450. id,

451. path,

452. expression,

453. order

454. FROM

458. auth_meta ORDER

459. BY

460. ordering,

461. id 순서 중요 !! 43

462. DB SecurityMetadataSource Flow FilterInvocationSecurityMetadataSource Spring Security 내부에서 사용 하는 인터 페이스 전환 후 전달 URL 권한 객체 요청 AuthorizationMetaService DB 쿼리 URL 권한 데이터 전송 DB 44

463. public class JdbcExpressionFilterInvocationDefinitionSourceFactoryBean implements FactoryBeanExpressionBasedFilterInvocationSecurityMetadataSource { private AuthorizationMetaService authorizationMetaService; ... public ExpressionBasedFilterInvocationSecurityMetadataSource getObject() { private 권한메타Service 권한메타MetaService; return new ExpressionBasedFilterInvocationSecurityMetadataSource( // 중략 ...this.executeResourceMap(), newString resourceMap = // DB에서 가져오기 MapString, DefaultWebSecurityExpressionHandler()); } authorizationMetaService.findAllAuthMetaData(); protected LinkedHashMapRequestMatcher, CollectionConfigAttribute executeResourceMap() { LinkedHashMapRequestMatcher, CollectionConfigAttribute MapString, String resourceMap = authorizationMetaService.findAllAuthMetaData(); LinkedHashMapRequestMatcher, CollectionConfigAttribute requestMap = requestMap = //... 중략 //... 중략 for (Map.EntryString, String entry : resourceMap.entrySet()) { for (Map.EntryString, String entry : resourceMap.entrySet()) { // 중략 ... ( Spring Security에서 사용하는 포멧으로 변경 ) // 중략 ... ( Spring Security 내부 인터페이스로 Converting ) requestMap.put(matcher, attrList); requestMap.put(matcher, attrList); } } return requestMap; } return requestMap; ... 45

464. jdbcFilterSecurityIntercept ExpressionBasedFilterInvocationSecurityMetadataSource LinkedHashMapRequestMatcher, CollectionConfigAttribute ... property로 셋팅 bean id=jdbcFilterSecurityInterceptor class=...FilterSecurityInterceptor property name=securityMetadataSource ref=jdbcInvocationDefinitionSource/ /bean bean id=jdbcInvocationDefinitionSource class=...JdbcExpressionFilterInvocationDefinitionSourceFactoryBean constructor-arg index=0 ref=authorizationMetaService/ /bean 46

465. JdbcFilterSecurityInterceptor http ... custom-filter ref=JdbcFilterSecurityInterceptor before=FILTER_SECURITY_INTERCEPTOR / ... http 도식화 ExceptionTranslationFilter 순서 중요 !! JdbcFilterSecurityInterceptor FilterSecurityInterceptor 47

466. 여기서 팁!! JdbcFilterSecurityInterceptor + intercept-url pattern=/member/** access=hasRole('member')/ intercept-url pattern=/school/** access=isAuthenticated() / intercept-url pattern=/** access=permitAll / ... = http once-per-request=true ... /http 48

467. 앞에

468. 있는

469. 권한

470. Filter

471. 부분이

472. 먼저

473. 적용된

474. 후

475. 뒷부분

476. 권한

477. Filter가

478. 적용! 권한

479. 적용

480. 우선

481. 순위

482. 확인

483. 꼭

484. 필요! 49

485. 정리 •Spring

486. Security은

487. Filter

488. Chain으로

489. 이루어진

490. 시스템이다. •인증(Authentication)

491. DB연동은

492. 기본

493. 지원으로

494. 인해

495. 쉽게

496. 가능 •외부

497. 인증은

498. 직접

499. 인증

500. Filter를

501. 추가

502. 및

503. 확장하여

504. 이루어진다. • 50

505. 참고자료 •Spring

506. Security

507. 공식사이트

508. 레퍼런스

509. (http://docs.spring.io/springsecurity/site/reference.html) •Spring

510. Security

511. OAuth

512. 공식사이트

513. (http://projects.spring.io/ spring-security-oauth/) •스프링

514. 시큐리티

515. 3

516. :

517. 스프링

518. 프레임워크

519. 기반

520. 표준

521. 보안

522. 솔루션

523. (서적

524. http://www.yes24.com/24/goods/4425736?scode=032OzSrank=1) •고종봉님

525. Spring

526. Security

527. Filter

528. Chain

529. 도식

530. •행복한

531. 눈물

532. -

533. 리히텐슈타인 (http://en.wikipedia.org/wiki/Happy_Tears_(Roy_Lichtenstein)) •절규

534. -

535. 뭉크

536. (http://en.wikipedia.org/wiki/The_Scream) 51

537. 부록 52

538. Spring Security 주요 Filter order list 1. SecurityContextPersistenceFilter - SecurityContext 즉 사용자 인증 및 권한 정보를 저장할 위치를 지정 (기본 설정: HttpSession ) - http 태그의 ”security-context-repository-ref” 속성으로 확장 가능 2. ConcurrentSessionFilter - 현재 Session이 유효여부를 파악하여 유효하지 않는 세션에 대한 후처리 - 유효하지 않은 경우는 보통 동시접속자가 발생하여 해당 세션이 무효화 및 Session 유효시간 지나는 등의 문제가 발생할 때 무효화 처리 - SessionManagementFilter와 연동 처리 3. LogoutFilter - 특정 URI(기본:/j_spring_security_logout)를 체크하여 Logout을 실행 - Logout을 할 때 처리(LogoutHandler) - Logout 성공 후 처리(LogoutSuccessHandler) 53

539. Spring Security 주요 Filter order list 4. UsernamePasswordAuthenticationFilter - 특정 URI(기본: /j_spring_security_check)에서 Username (보통ID), Password를 통한 인증 프로세스를 진행 - 인증(Login)프로세스 관련 부분은 AuthenticationManager에게 위임 - 인증 성공(SuccessHandler) 및 실패(FailureHandler) 후처리 등을 진행 - SpringSecurity에서 가장 핵심적이면서 많은 확장 포인트가 존재 5. RequestCacheAwareFilter - 인증 성공 후 기존 요청을 찾아가기 위해 기존 요청을 저장하기 위해 사용 - 기본 적으로 Session을 사용한다. 54

540. Spring Security 주요 Filter order list 6. SecurityContextHolderAwareRequestFilter - Servlet Api에서 HttpServletRequest 의 “getRemoteUser”, “getUserPrincipal”, “isUserInRole”, ”isGranted” 메소드를 Spring Security 인증, 및 권한된 정보에 맞도록 Overriding - http 태그의 “servlet-api-provision” 속성이 true일때 활성화 (기본값: true) 7. RememberMeAuthenticationFilter - RememberMe란? 보통 한번 인증 후 다시 해당 조건에 만족 되면 인증 정보가 필요 없이 자동으로 로그인 - 이 Filter는 해당 요청이 RememberMe 조건에 맞으면 자동으로 인증 (기본값은 특 정cookie값이 존재할 때) - RememberMe 프로세스 순서 (1) UsernamePasswordAuthenticationFilter에서 인증 후 해당 인증값 바탕으로 암호화 된 Cookie기록 (2) RememberMe 요청 조건에 맞는 요청시 해당 조건(기본 Cookie)를 기초로 인증 (3) Logout시 해당 쿠키를 제거 55

541. Spring Security 주요 Filter order list 8. AnonymousAuthenticationFilter - 이 Filter의 순서가 될때까지 인증이 되지 않았다면 익명의 사용자를 추가 - 기본적으로 인증을 받지않은 사용자도 내부적으로 기본“익명의”사용자로 판단 - 기본값 username: “anonymousUser”, role: “ROLE_ANONYMOUS” - http 태그 안의 anonymous 태그와 관련 9. SessionManagementFilter - Session 정보의 보안 및 동시 접속 등 전반적인 Session 추적 및 정보 관리 - 로그인시 기존 Session 존재할 시 기존 세션을 무효화 하고 새롭게 생성할 것 인지 무조건 새로운 세션 추가 할 것인지 등 처리 - 동시 접속자를 허용할지, 몇 명까지 허용할 것인지 여부, 허용하지 않거나 허용된 Session의 수가 넘었을 때 처리 ( Session 무효화 처리 ) - http의 “create-session” 속성 및 내부 session-management 태그 와 관련 56

542. Spring Security 주요 Filter order list 10. ExceptionTranslationFilter - 이 Filter는 현재 이 Filter 이후의 모든 Process 내부에서 발생한 ”AuthenticationException”(인증 Exception), “AccessDeniedException”(권한 Exception) 찾아내어 처리 - http의 “entry-point-ref”, “access-denied-page”와 내부 accessdenied-handler 태그와 관련 11. FilterSecurityInterceptor - 권한 프로세스를 처리하는 Filter부분으로 실질적인 처리는 부모 Class인 “AbstractSecurityInterceptor” 에서 대부분을 처리 - 내부 권한처리는 AccessDecisionManager Class를 통해 진행 - 권한 관련 메타 정보는 FilterInvocationSecurityMetadataSource 인터페이 스 기반 Class에서 관리 - 기본은 http 내부의 intercept-url 태그의 내용을 기준으로 권한을 처리 - http의 “access-decision-manager-ref”, “once-per-request“ 속성과 내부의 intercept-url 태그와 관련 57

Spring camp 발표자료

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Spring camp 발표자료

Similar to Spring camp 발표자료 (20)

Spring camp 발표자료