[SpringBoot] Spring Security

이번에 스터디를 하면서 spring security에 대해 처음 제대로 접하게 되었다. 인스타그램 클론 프로젝트를 할때 인증 같은 경우에는 세션을 사용했었고 라이브러리에서 spring security를 사용하긴 했지만 이것이 대체 어디서 쓰이는건지 정확하게 알지 못했었다. 대부분의 Spring 기반 프로젝트는 Spring Security를 통해 사용자를 식별하고 특정 리소스에 접근할 수 있도록 한다고 하니 이해하기 위해 열심히 구글링하고 이해한 것을 기록해보고자 한다.

 

1. Spring Security

스프링 인증하면 빠질 수 없는 것이 Spring Security이다. 대부분 Spring 기반 프로젝트는 Spring Security를 통해 사용자를 식별하고 특정 리소스에 접근할 수 있도록 역할을 부여한다. Spring Security는 Spring 기반의 애플리케이션의 보안(인증과 권한, 인가 등)을 담당하는 스프링 하위 프레임워크이다.

[Security 인증 구조]

[Spring Security Maven 등록]

<!--Security-->
<dependency>
	<groupId>org.springframework.boot</groupId>
	<artifactId>spring-boot-starter-security</artifactId>
</dependency>

 

[Security Configure]

@Configuration
@EnableWebSecurity
public class WebSecurityConfigure extends WebSecurityConfigurerAdapter {
	//세개의 configure 메소드를 오버라이딩 한다.
	
    @Override
    protected void configure(AuthenticationManagerBuilder auth) {
      //실제 인증을 진행할 Provider 4번에 해당
      //DB로 부터 아이디, 비번이 맞는지 해당 유저가 어떤 권한을 가지는지 체크
      //UserService 인터페이스를 상속받은 클래스가 있다면 그 클래스에서 인증을 시도하면됨
    }
    
    @Override
    public void configure(WebSecurity web) {
	  //이미지,자바스크립트,css 디렉토리 보안 설정 (접근 가능하게 처리)
	}

    @Override
    protected void configure(HttpSecurity http) throws Exception {
	 //HTTP 관련 보안 설정 **가장 중요**
     //URL 별 권한 설정, 로그인, 세션 등등
	}
}