[Spring] 스프링 시큐리티란?

2024년 4월 5일조회 201

이 글은 《요즘 바이브 코딩 클로드 코드 완벽 가이드》에서 발췌했습니다.

요즘 바이브 코딩 클로드 코드 완벽 가이드

ISBN 9791194383437지은이 최지호(코드팩토리)₩24,000

스프링 기반의 애플리케이션의 보안(인증, 인가)을 담당하는 스프링 하위 프레임워크인 스프링 시큐리티가 무엇인지 정리했습니다.

[Spring] 스프링 시큐리티란?

이 글은 [스프링 부트 3 백엔드 개발자 되기(자바 편)(2판)]에서 발췌했습니다.

골든래빗 출판사

스프링 기반의 애플리케이션의 보안(인증, 인가)을 담당하는 스프링 하위 프레임워크인 스프링 시큐리티가 무엇인지 정리했습니다.

[Spring] 스프링 시큐리티란?

스프링 시큐리티(Spring Security)는 스프링 기반의 애플리케이션 보안(인증, 인가, 권한)을 담당하는 스프링 하위 프레임워크입니다. 스프링 시큐리티를 이해하려면 인증과 인가에 대한 개념을 알아야 합니다. 그럼 시작해볼까요?

인증과 인가

인증(Authentication)은 사용자의 신원을 입증하는 과정입니다. 예를 들어 사용자가 사이트에 로그인을 할 때 누구인지 확인하는 과정을 인증이라고 합니다.

인가(Authorization)는 인증과는 다릅니다. 인가는 사이트의 특정 부분에 접근할 수 있는지 권한을 확인하는 작업입니다.

예를 들어 관리자는 관리자 페이지에 들어갈 수 있지만 일반 사용자는 관리자 페이지에 들어갈 수 없습니다. 이런 권한을 확인하는 과정을 인가라고 합니다. 인증과 인가 관련 코드를 아무런 도구의 도움 없이 작성하려면 굉장히 많은 시간이 필요한데요, 스프링 시큐리티를 사용하면 아주 쉽게 처리할 수 있습니다.

스프링 시큐리티

스프링 시큐리티는 스프링 기반 애플리케이션의 보안을 담당하는 스프링 하위 프레임워크입니다. 보안 관련 옵션을 많이 제공하죠. 그리고 애너테이션으로 설정도 매우 쉽습니다. CSRF 공격, 세션 고정(Session Fixation) 공격을 방어해주고, 요청 헤더도 보안 처리를 해주므로 개발자가 보안 관련 개발을 해야 하는 부담을 크게 줄여줍니다.

※ CSRF 공격은 사용자의 권한을 가지고 특정 동작을 수행하도록 유도하는 공격을 말합니다.

※ 세션 고정 공격은 사용자의 인증 정보를 탈취하거나 변조하는 공격을 말합니다.

필터 기반으로 동작하는 스프링 시큐리티

스프링 시큐리티는 필터 기반으로 동작합니다. 스프링 시큐리티의 필터 구조를 살펴보며 어떤 필터가 동작하는지 알아보겠습니다.

※ 스프링 시큐리티의 필터 구조가 굉장히 복잡해보여 처음에는 부담스러울 수 있지만 이 구조는 결국 스프링 시큐리티를 사용하려면 알아야 하는 내용입니다. 그냥 넘어가지 말고 꼭 공부하고 넘어가세요!

스프링 시큐리티는 이렇게 다양한 필터들로 나누어져 있으며, 각 필터에서 인증, 인가와 관련된 작업을 처리합니다.

SecurityContextPersistenceFilter부터 시작해서 아래로 내려가며 FilterSecurityInterceptor까지 순서대로 필터를 거칩니다. 필터를 실행할 때는 회색 화살표로 연결된 오른쪽 박스의 클래스를 거치며 실행합니다. 특정 필터를 제거하거나 필터 뒤에 커스텀 필터를 넣는 등의 설정도 가능합니다. 여기서 눈여겨볼 필터는 회색으로 색칠한 UsernamePasswordAuthenticationFilter와 FilterSecurityInterceptor입니다. ❶ UsernamePasswordAuthenticationFilter는 아이디와 패스워드가 넘어오면 인증 요청을 위임하는 인증 관리자 역할을 합니다. ❷ FilterSecurityInterceptor는 권한 부여 처리를 위임해 접근 제어 결정을 쉽게 하는 접근 결정 관리자 역할을 합니다.

가장 많이 사용하는 아이디와 패스워드 기반 폼 로그인을 시도하면 스프링 시큐리티에서는 어떤 절차로 인증 처리를 하는지 그림을 보면서 알아보겠습니다.

❶ 사용자가 폼에 아이디와 패스워드를 입력하면, HTTPServletRequest에 아이디와 비밀번호 정보가 전달됩니다. 이때 AuthenticationFilter가 넘어온 아이디와 비밀번호의 유효성 검사를 합니다. ❷ 유효성 검사가 끝나면 실제 구현체인 UsernamePasswordAuthenticationToken을 만들어 넘겨줍니다. ❸ 전달받은 인증용 객체인 UsernamePasswordAuthenticationToken을 AuthenticationManager에게 보냅니다. ❹ UsernamePasswordAuthenticationToken을 AuthenticationProvider에 보냅니다.

❺ 사용자 아이디를 UserDetailService에 보냅니다. UserDetailService는 사용자 아이디로 찾은 사용자의 정보를 UserDetails 객체로 만들어 AuthenticationProvider에게 전달합니다. ❻ DB에 있는 사용자 정보를 가져옵니다. ❼ 입력 정보와 UserDetails의 정보를 비교해 실제 인증 처리를 합니다. ❽ ~ ❿ 까지 인증이 완료되면 SecurityContextHolder에 Authentication을 저장합니다. 인증 성공 여부에 따라 성공하면 AuthenticationSuccessHandler, 실패하면 AuthenticationFailureHandler 핸들러를 실행합니다.

여기까지 스프링 시큐리티 폼 로그인의 인증 흐름을 알아보았습니다. 스프링 시큐리티의 폼 로그인을 설정하는 것은 간단하지만 실제로는 이러한 복잡한 내부 동작을 실행합니다. 물론 이 동작을 모두 다 외워야 하는 것은 아니지만 어떠한 흐름으로 로그인이 동작하는지 이해하면 스프링 시큐리티를 더 잘 이해하고 활용할 수 있습니다.

핵심 요약

인증은 보호된 리소스에 접근하는 것을 허용하기 이전에 등록된 사용자의 신원을 입증하는 과정입니다.

인가는 특정 부분에 접근할 수 있는지에 확인하는 작업입니다.

스프링 시큐리티(Spring Security)는 스프링 기반의 애플리케이션 보안(인증, 인가, 권한)을 담당하는 스프링 하위 프레임워크입니다. 스프링 시큐리티는 필터 기반으로 동작합니다. 각 필터에서 인증, 인가와 관련된 작업을 처리합니다. 기본적으로 세션 & 쿠키 방식으로 인증을 처리합니다.

스프링 시큐리티에서 사용자의 인증, 인가 정보를 UserDetails 객체에 담습니다. 이 클래스를 상속받은 뒤 메서드를 오버라이드해 사용하면 됩니다.

스프링 시큐리티에서 사용자의 정보를 가져오는 데 사용하는 UserDetailService를 사용합니다. 이 클래스를 상속받은 뒤 loadUserByUsername( )을 오버라이드하면 스프링 시큐리티에서 사용자의 정보를 가져올 때 오버라이드된 메서드를 사용합니다.

신선영

리멤버 백엔드 개발자. 하드 스킬과 소프트 스킬 역량을 강화하고자 부단히 공부하고 글로 남기는 백엔드 개발자입니다. 평일 기준 하루 평균 600뷰의 기술 블로그를 운영하고, 모교 학생을 대상으로 정기 세미나와 멘토링을 진행합니다. 구독자가 1,000명 정도 되는 사이드 프로젝트를 기획하고 개발하고 운영한 경험이 있습니다.

저자 블로그 shinsunyoung.tistory.com

저자 깃허브 github.com/shinsunyoung

AOP AWS BACKEND CI/CD CRUD DBMS DI GOOGLEAUTHGUARD GOOGLESTRATEGY HTTP 메서드 HTTP 헤더 IAM IOC JAVA JPA JWT OAUTH ORM PSA RDB RDS REST API RESTFUL API SPRINGBOOT3 VSCODE YAML 개발자 구글 로그인 깃허브 깃허브 액션 놉엔드 롬복 리포지토리 리프레시 토큰 백엔드 백엔드개발 비동기 처리 비주얼 스튜디오 코드 서버사이드 세션 스레드 스프링 스프링 데이터 JPA 스프링 부트 스프링 시큐리티 스프링부트3 스프링테스트 습엔드 엔티티 웹 개발 웹 프로그래밍 웹사이트 의존성 주입 인가 인증 일렉스틱 빈스토크 자바 자바11 자바8 컴공 코딩 콜백 쿠키 타임리프 테스트 템플릿 엔진 토큰 토큰 기반 인증 폴링 하이버네이트 홈페이지

📚 더 읽기

저자 소개

밀리만

한국 지사에서 소프트웨어 엔지니어로 일했습니다. 현재 주식회사 코드팩토리를 창업하여 개발을 하면서 초보자뿐만 아니라 현직 개발자에게도 유용한 개발 강의를 제작합니다. 〈2022 인프런 Rookie of the Year〉, 〈2023 베스트셀러〉, 〈2024 패스트캠퍼스 어워드〉를 수상했으며 2024년 기준 2만 명이 넘는 수강생을 보유하고 있습니다. _SNS __ Official : codefactory.ai __ Facebook : fb.com/serendipity111011 __ YouTube : youtube.com/@codefactory_official __ Blog : blog.codefactory.ai __ GitHub : github.com/orgs/codefactory-co __ : open.kakao.com/o/gg2S2GBc __ : open.kakao.com/o/gDUhYNDh _주요 저서 및 강의 __ 《코드팩토리의 플러터 프로그래밍(3판)》 __ 코드팩토리의 Flutter 앱개발 초급 __ 코드팩토리의 Flutter 앱개발 중급 __ 코드팩토리의 9시간만에 끝내는 Javascript 풀코스 __ 코드팩토리의 8시간만에 끝내는 Typescript 풀코스 __ 코드팩토리의 백엔드 아카데미 : 한 번에 끝내는 NestJS 패키지 - 기초부터 MSA까지

📚《요즘 바이브 코딩 클로드 코드 완벽 가이드》 자주 묻는 질문

Q.클로드 코드가 기존 AI 코딩 도구와 어떤 점에서 차별화되나요? 왜 '바이브 코딩'이라는 표현을 사용하는지 궁금합니다.

클로드 코드는 단순히 코드를 생성해주는 도구를 넘어, 개발자와 긴밀하게 협업하며 '함께 만들어간다'는 느낌을 주는 AI 파트너입니다. 마치 숙련된 동료 개발자와 페어 프로그래밍을 하는 듯한 경험을 제공하죠. 기존 AI 코딩 도구들이 정해진 틀 안에서 코드를 찍어내는 데 집중했다면, 클로드 코드는 개발자의 의도를 정확히 파악하고, 창의적인 해결책을 제시하며, 지속적인 피드백을 통해 코드를 개선해나가는 능력이 뛰어납니다. '바이브 코딩'이라는 표현은 이러한 클로드 코드와의 협업 과정에서 느껴지는 긍정적인 에너지와 즐거움을 담아낸 것입니다. 개발자는 클로드 코드와 소통하며 아이디어를 발전시키고, 코딩 과정 자체를 즐길 수 있습니다. 이 책에서는 클로드 코드의 다양한 활용법과 함께, '바이브 코딩'을 경험하는 데 필요한 모든 노하우를 상세히 안내합니다. 특히 200달러 MAX 플랜을 활용하여 얻은 저자의 생생한 경험을 바탕으로, 클로드 코드를 최대한 활용할 수 있는 팁들을 제공합니다. 단순히 코드를 생성하는 것을 넘어, 개발의 즐거움을 느끼고 싶다면 《요즘 바이브 코딩 클로드 코드 완벽 가이드》를 통해 클로드 코드와 함께 '바이브 코딩'을 경험해보세요.

Q.클로드 코드의 요금제 플랜이 다양한 것 같은데, 어떤 플랜을 선택해야 할지 고민입니다. 플랜별 특징과 선택 기준을 자세히 알고 싶습니다.

클로드 코드는 다양한 사용자의 요구를 충족시키기 위해 여러 가지 요금제 플랜을 제공합니다. 각 플랜은 제공되는 기능과 사용량에 따라 차이가 있으며, 자신의 개발 스타일과 프로젝트 규모에 맞춰 최적의 플랜을 선택하는 것이 중요합니다. 이 책에서는 클로드 코드의 각 플랜별 특징을 상세히 비교 분석하고, 어떤 플랜이 어떤 사용자에게 적합한지 명확하게 제시합니다. 예를 들어, 개인 프로젝트나 간단한 작업에는 저렴한 플랜으로도 충분하지만, 복잡한 프로젝트나 팀 협업이 필요한 경우에는 더 높은 등급의 플랜이 필요할 수 있습니다. 또한, 클로드 코드를 처음 사용하는 사용자를 위해 무료 플랜도 제공하고 있으므로, 먼저 무료 플랜을 통해 클로드 코드의 기능을 경험해보고 유료 플랜으로 업그레이드하는 것을 추천합니다. 특히, 저자는 200달러 MAX 플랜을 활용하며 얻은 경험을 바탕으로, 각 플랜별 실제 활용 사례와 팁을 제공하여 독자들이 자신에게 맞는 플랜을 선택하는 데 도움을 줍니다. 합리적인 선택을 통해 클로드 코드를 효율적으로 활용하고 싶다면, 《요즘 바이브 코딩 클로드 코드 완벽 가이드》를 참고하여 자신에게 맞는 플랜을 선택해보세요.

Q.CLAUDE.md 파일은 무엇이고, 클로드 코드 사용 시 어떻게 활용해야 효율적인가요?

CLAUDE.md 파일은 클로드 코드에게 프로젝트에 대한 전반적인 정보를 제공하는 파일입니다. 이 파일에는 프로젝트의 목표, 구조, 사용 기술, 개발 규칙, 그리고 관련 문서 링크 등을 담을 수 있습니다. 클로드 코드는 CLAUDE.md 파일을 분석하여 프로젝트의 맥락을 이해하고, 더욱 정확하고 효율적인 코드를 생성할 수 있습니다. CLAUDE.md 파일을 잘 활용하면, 클로드 코드에게 프로젝트의 컨텍스트를 효과적으로 전달하여 불필요한 질문을 줄이고, 개발 생산성을 크게 향상시킬 수 있습니다. 이 책에서는 CLAUDE.md 파일을 작성하는 방법과 효과적인 활용 전략을 자세히 설명합니다. 어떤 정보를 포함해야 하는지, 어떻게 구조화해야 하는지, 그리고 클로드 코드에게 어떤 방식으로 전달해야 하는지에 대한 실질적인 가이드를 제공합니다. 또한, CLAUDE.md 파일 외에도 콘텍스트 관리 전략을 통해 클로드 코드의 기억력을 향상시키고, 프로젝트의 복잡성을 관리하는 방법을 소개합니다. CLAUDE.md 파일을 효과적으로 활용하여 클로드 코드의 잠재력을 최대한으로 끌어올리고 싶다면, 《요즘 바이브 코딩 클로드 코드 완벽 가이드》를 통해 자세한 내용을 확인해보세요.

Q.클로드 코드를 사용하여 UI 프로토타입을 빠르게 만들고 싶은데, 어떤 방법이 있을까요?

클로드 코드는 UI 프로토타입 제작에도 매우 유용하게 활용될 수 있습니다. 텍스트 기반의 설명만으로도 간단한 UI를 생성하거나, 기존 디자인을 기반으로 새로운 UI 요소를 추가하는 작업을 빠르게 수행할 수 있습니다. 이 책에서는 클로드 코드를 활용하여 UI 프로토타입을 제작하는 다양한 방법과 예시를 제공합니다. 먼저, 명확하고 구체적인 프롬프트를 작성하는 것이 중요합니다. 어떤 UI 요소를 원하는지, 어떤 기능을 구현해야 하는지 자세히 설명할수록 클로드 코드는 더욱 정확한 결과물을 생성할 수 있습니다. 또한, 클로드 코드가 생성한 코드를 직접 수정하고 개선하면서 원하는 UI를 만들어나갈 수 있습니다. 이 책에서는 UI 디자인 패턴과 베스트 프랙티스를 활용하여 클로드 코드에게 더욱 효과적인 지시를 내리는 방법을 알려줍니다. 특히, 저자가 직접 개발한 커스텀 커맨드를 활용하여 반복적인 작업을 자동화하고, 생산성을 극대화하는 방법을 소개합니다. 클로드 코드를 사용하여 효율적으로 UI 프로토타입을 제작하고 싶다면, 《요즘 바이브 코딩 클로드 코드 완벽 가이드》를 통해 다양한 팁과 노하우를 배워보세요.

Q.깃허브 워크플로우와 클로드 코드를 연동하여 팀 협업 효율을 높이는 방법을 알고 싶습니다.

클로드 코드는 깃허브 워크플로우와 연동하여 팀 협업 효율을 크게 향상시킬 수 있습니다. 예를 들어, 클로드 코드를 활용하여 코드 리뷰를 자동화하거나, 깃허브 이슈를 기반으로 코드를 생성하는 등의 작업을 수행할 수 있습니다. 이 책에서는 깃허브 워크플로우와 클로드 코드를 연동하는 구체적인 방법과 설정 과정을 자세히 설명합니다. 깃허브 액션을 사용하여 클로드 코드를 트리거하고, 생성된 코드를 자동으로 커밋하는 방법을 배울 수 있습니다. 또한, 클로드 코드를 활용하여 코드 컨벤션을 준수하고, 잠재적인 버그를 사전에 발견하는 방법을 소개합니다. 특히, 팀원 간의 커뮤니케이션을 효율적으로 관리하고, 코드 충돌을 방지하는 전략을 제시합니다. 깃허브 연동을 통해 팀 협업 효율을 극대화하고 싶다면, 《요즘 바이브 코딩 클로드 코드 완벽 가이드》를 통해 실질적인 노하우를 습득해보세요.

Q.Supabase와 같은 외부 서비스와 클로드 코드를 연동하여 더욱 강력한 애플리케이션을 개발하고 싶습니다.

클로드 코드는 Supabase와 같은 외부 서비스와 연동하여 더욱 강력한 애플리케이션을 개발하는 데 활용될 수 있습니다. Supabase는 백엔드 기능을 제공하는 서비스로, 데이터베이스, 인증, 스토리지 등을 쉽게 사용할 수 있도록 해줍니다. 클로드 코드는 Supabase API를 활용하여 데이터베이스에 데이터를 저장하거나 검색하고, 사용자 인증 기능을 구현하는 등의 작업을 수행할 수 있습니다. 이 책에서는 Supabase와 클로드 코드를 연동하는 구체적인 방법과 코드 예제를 제공합니다. Supabase 클라이언트를 설정하고, 클로드 코드를 사용하여 API 요청을 생성하는 방법을 배울 수 있습니다. 또한, 클로드 코드를 활용하여 데이터 유효성 검사를 수행하고, 에러 처리를 구현하는 방법을 소개합니다. 특히, Context7과 같은 도구를 활용하여 클로드 코드의 컨텍스트를 확장하고, 더욱 복잡한 작업을 처리하는 방법을 제시합니다. 외부 서비스 연동을 통해 클로드 코드의 활용 범위를 넓히고 싶다면, 《요즘 바이브 코딩 클로드 코드 완벽 가이드》를 통해 자세한 내용을 확인해보세요.

Q.클로드 코드를 활용하여 만든 코드의 테스트 및 배포는 어떻게 진행해야 할까요? 효율적인 CI/CD 파이프라인 구축 방법이 궁금합니다.

클로드 코드로 생성한 코드는 반드시 테스트를 거쳐야 합니다. 클로드 코드가 완벽한 코드를 생성한다고 보장할 수 없기 때문에, 자동화된 테스트를 통해 코드의 품질을 검증하는 것이 중요합니다. 이 책에서는 클로드 코드를 활용하여 테스트 코드를 작성하는 방법과, 자동화된 테스트 환경을 구축하는 방법을 설명합니다. Jest, Mocha, Pytest 등 다양한 테스트 프레임워크를 활용하여 유닛 테스트, 통합 테스트, E2E 테스트를 작성하는 방법을 배울 수 있습니다. 또한, 깃허브 액션, Jenkins, CircleCI 등 CI/CD 도구를 활용하여 코드 변경 사항을 자동으로 테스트하고 배포하는 파이프라인을 구축하는 방법을 소개합니다. 특히, 클로드 코드를 활용하여 테스트 케이스를 생성하고, 코드 커버리지를 측정하는 방법을 제시합니다. 효율적인 CI/CD 파이프라인을 구축하여 코드 품질을 유지하고, 배포 속도를 높이고 싶다면, 《요즘 바이브 코딩 클로드 코드 완벽 가이드》를 통해 실질적인 가이드를 얻어보세요.