패스트캠퍼스 챌린지 15일차 - Spring Security 4

📌Spring Security 4

✔️ BasicAuthenticationFilter
로그인 페이지를 사용하지 않는 상황에서 사용된다. (폼 로그인 ❌)
ex) SPA (react,vue,angular..), 모바일앱

 

✔️ BasicAuthenticationFilter 설정

SecurityConfig

configure(HttpSecurity http)
    http.httpBasic();

 

✔️ BasicAuthenticationFilter 동작

• Authorization 헤더에 Basic 토큰을 검증한다.
• Basic 토큰은 id, password를 Base64로 인코딩한 값으로 이루어진다.
• Base64 인코딩은 누구나 디코딩 가능하기 때문에 보안에 매우 취약하다.
  • (보안에 취약하므로 https 프로토콜을 사용히여 보완해야 한다.)

 

✔️ SPA의 로그인 방식

1. id,pw를 입력받아 Basic 토큰에 인코딩하여 서버로 전송한다.
2. 서버는 토큰 검증 후 UserDetail 객체를 내려준다.

• 매 요청마다 ID/PW를 헤더에 담아 보내는 것은 보안상 취약하다.
  때문에 Bearer같은 토큰을 이용한다.
• Bearer 토큰은 최초 인증정보를 받아 검증하고 최소한의 정보를 토큰에 담아서 클라이언트에게 내려주고 클라이언트튼 이후 전달받은 토큰으로 인증을 수행한다.

✔️ BasicAuthenticationFilter Test

1. 인증이 필요한 매핑 url 정의 및 SecurityConfig 설정한다.
2. 인증실패 테스트
   1. 해당 url로 헤더 없이 요청
   2. 예외가 발생하는지 테스트

3. 인증성공 테스트
   1. Basic Token을 헤더에 추가 (id:pw 콜론으로 구분)

HttpHeaders header = new HttpHeaders(); 
header.add(HttpHeaders.AUTHORIZATION, "Basic "+Base64.getEncoder().encodeToString("id:pw".getBytes())); 
HttpEntity entity = new HttpEntity(null, header);

• 헤더와 함께 요청
• exchange(url, HttpMethod.GET, entity, 리턴타입);

참고

• TestRestTemplate은 자동으로 BasicAuthentication에 대한 Basic토큰을 구성한다.
• POST에 대한 테스트시 csrf에 대한 설정이 필요하다.

 

✔️ 인증 정책이 2개 이상인 경우

일반적인 웹에서의 로그인은 폼 로그인으로 처리한다.

모바일웹, SPA의 경우 BasicAuthneicationFilter 로 처리한다.

csrf.disabled()

 

✔️ 각각 필터체인 설정을 위한 SpringSecurity 생성

1. SpringSecurity - 일반적인 폼 로그인에 대한 필터체인을 설정한다 .
   1. /** @Order(1)
2. MobileSpringSecurity - 모바일,SPA의 인증에 대한 필터체인을 설정한다.
   1. /api/** @Order(2)

---

👍  수강인증

 

패스트캠퍼스 [직장인 실무교육]

본 포스팅은 패스트캠퍼스 환급 챌린지 참여를 위해 작성되었습니다.