spring security 동작 방식에 대해서 설명하시오.

[daumi125]

😉

[daumi125]

✅ Spring Security 동작 방식

1. 요청이 들어오면 필터 체인(Spring Security Filter Chain)에 전달됨

• DelegatingFilterProxy를 통해 Spring Security의 필터 체인이 동작
• 대표 필터: UsernamePasswordAuthenticationFilter, SecurityContextPersistenceFilter, ExceptionTranslationFilter 등

---

2. 인증(Authentication) 처리

• 로그인 시도 → UsernamePasswordAuthenticationFilter가 동작
• 사용자 ID/비밀번호를 Authentication 객체로 변환
• AuthenticationManager가 인증을 처리
  • 내부적으로 UserDetailsService를 통해 DB에서 사용자 정보 조회
  • 비밀번호 비교는 PasswordEncoder로 처리
• 인증에 성공하면 SecurityContextHolder에 인증 정보를 저장

---

3. 인가(Authorization) 처리

• 사용자가 요청한 URL, 메서드, 리소스에 대해 접근 권한이 있는지 확인
• 권한 체크는 AccessDecisionManager가 수행
• 주로 @PreAuthorize, @Secured, hasRole() 등을 통해 설정

---

4. 요청 처리 및 응답

• 인증과 인가를 통과하면 요청은 DispatcherServlet → Controller로 전달됨
• 요청 처리 후 응답 반환

---

5. 로그아웃 처리

• /logout 요청 시 LogoutFilter가 동작하여 인증 정보 제거 및 세션 무효화

---

✅ 정리: 전체 흐름 요약

plaintext
복사편집
클라이언트 요청
       ↓
Security Filter Chain
       ↓
인증(Authentication) - 로그인 여부 확인
       ↓
인가(Authorization) - 권한 여부 확인
       ↓
Controller 실행
       ↓
응답 반환

[daumi125]

❓ 1. Spring Security란 무엇인가요?

✅ 답변:

Spring Security는 Spring 기반 애플리케이션의 **인증(Authentication)**과 **인가(Authorization)**를 제공하는 보안 프레임워크입니다.

Filter 기반으로 동작하며, 다양한 인증 방식(폼 로그인, Basic, JWT, OAuth2 등)을 지원하고, 권한 제어 및 세션 관리 기능도 제공합니다.

---

❓ 2. 인증(Authentication)과 인가(Authorization)의 차이는?

✅ 답변:

• 인증(Authentication): 사용자가 누구인지 확인하는 절차 (예: 로그인)
• 인가(Authorization): 인증된 사용자가 특정 리소스에 접근 가능한지 판단하는 절차 (예: 관리자 권한 확인)

---

❓ 3. Spring Security의 동작 방식은 어떻게 되나요?

✅ 답변:

요청이 들어오면 Security Filter Chain이 가로채어 먼저 인증을 확인합니다.
인증이 완료되면 Authorization 필터에서 사용자의 권한을 검사한 뒤, 모든 조건을 만족하면 Controller로 요청이 전달됩니다.
인증 정보는 SecurityContextHolder에 저장됩니다.

---

❓ 4. Spring Security에서 사용되는 주요 필터는 어떤 것이 있나요?

✅ 답변:

대표적으로 아래 필터들이 사용됩니다:

• SecurityContextPersistenceFilter: 인증 정보 유지
• UsernamePasswordAuthenticationFilter: 로그인 처리
• ExceptionTranslationFilter: 인증/인가 예외 처리
• FilterSecurityInterceptor: 권한 검사
• AnonymousAuthenticationFilter: 인증되지 않은 사용자 처리

---

❓ 5. SecurityContextHolder란 무엇인가요?

✅ 답변:

SecurityContextHolder는 현재 인증된 사용자의 정보를 저장하는 ThreadLocal 기반 저장소입니다.
이 객체를 통해 컨트롤러나 서비스에서도 인증 정보를 참조할 수 있습니다.

---

❓ 6. Spring Security에서 사용자 정보를 어떻게 로딩하나요?

✅ 답변:

UserDetailsService를 구현하여 loadUserByUsername() 메서드에서 사용자 정보를 DB에서 조회하고, UserDetails 객체로 반환합니다.

이 객체에는 사용자 이름, 비밀번호, 권한 등이 포함됩니다.

---

❓ 7. 비밀번호는 어떻게 검증하나요?

✅ 답변:

Spring Security는 PasswordEncoder를 사용하여 암호화를 지원합니다. 대표적으로 BCryptPasswordEncoder를 사용하며, 비밀번호를 암호화한 후 DB에 저장하고, 로그인 시 같은 방식으로 암호화하여 비교합니다.

---

❓ 8. JWT 기반 인증은 어떻게 구현하나요?

✅ 답변:

JWT 기반 인증에서는 로그인 시 토큰을 생성하고, 이후 요청에서 이 토큰을 헤더에 담아 보냅니다.

OncePerRequestFilter를 상속한 필터를 등록하여 매 요청마다 토큰을 검사하고, 유효한 경우 Authentication 객체를 생성하여 SecurityContextHolder에 저장합니다.

---

❓ 9. @PreAuthorize, @Secured, @RolesAllowed 차이점은?

✅ 답변:

• @PreAuthorize: SpEL 기반 표현식을 사용할 수 있음 (hasRole(), hasAuthority())
• @Secured: 단순히 권한만 지정 (예: @Secured("ROLE_ADMIN"))
• @RolesAllowed: 자바 표준 어노테이션(JSR-250), 기본적으로 ROLE_ prefix 필요

---

❓ 10. CSRF란 무엇이며, Spring Security에서 어떻게 대응하나요?

✅ 답변:

CSRF(Cross Site Request Forgery)는 인증된 사용자의 권한을 악용한 요청 위조 공격입니다.

Spring Security는 기본적으로 CSRF 토큰을 생성하고, POST/PUT/DELETE 요청에 대해 이 토큰이 없으면 요청을 차단합니다. REST API에서는 보통 CSRF 보호를 비활성화합니다.