🙉

Spring Security

Intro::

Spring Security 에 대해 알아보자.

스프링 기반 애플리케이션의 보안(인증과 인가)를 담당하는 프레임워크

스프링 시큐리티는 필터(Filter) 기반으로 동작하기 때문에 스프링 MVC와 분리되어 관리 및 동작합니다.

필터(Filter)는 Dispatcher Servlet으로 가기 전에 적용되므로 가장 먼저 URL 요청을 받지만, Interceptor는 Dispatcher와 Controller 사이에 위치합니다.

Client → Filter → Dispatcher Servlet → Interceptor → Controller

인증(Authentication): 사용자가 누구인지 확인하는 과정입니다. 스프링 시큐리티는 폼 기반 로그인, LDAP, JSON Web Token, OAuth2 등 다양한 인증 메커니즘을 지원합니다.

권한 부여(Authorization): 인증된 사용자가 수행할 수 있는 작업을 결정합니다. 예를 들어, 특정 역할을 가진 사용자만이 특정 자원에 접근할 수 있도록 제한할 수 있습니다.

CSRF(Cross-Site Request Forgery) 보호: 웹 애플리케이션을 CSRF 공격으로부터 보호합니다. 스프링 시큐리티는 이를 위한 토큰 기반 방식을 제공합니다.

세션 관리: 세션 고정, 세션 만료, 동시 세션 제어 등 세션을 보다 안전하게 관리할 수 있는 기능을 제공합니다.

HTTPS 강제 사용: 보안이 필요한 페이지에 대해 HTTPS 프로토콜을 강제로 사용하도록 설정할 수 있습니다.