[Spring Security] docs : Architecture (1) - Filter

🔻 Spring Security docs 게시글 목차

[Spring Security] docs : Getting Started

Spring Security는 인증, 권한부여 및 일반적인 공격에 대한 보호를 제공하는 프레임워크이다. 개발자가 보안 설정에 추가적으로 신경쓰지 않더라도 안전한 애플리케이션을 빠르게 구축할 수 있도

kiritoni.tistory.com

2. [Spring Security] docs : Architecture (1) - Filter

[Spring Security] docs : Architecture (1) - Filter

Spring Security docs Hello Spring Security :: Spring SecurityRunning Spring Boot Application $ ./mvnw spring-boot:run ... INFO 23689 --- [ restartedMain] .s.s.UserDetailsServiceAutoConfiguration : Using generated security password: 8e557245-73e2-4286-969a

kiritoni.tistory.com

🌱 Spring Security docs 바로가기

Architecture :: Spring Security

The Security Filters are inserted into the FilterChainProxy with the SecurityFilterChain API. Those filters can be used for a number of different purposes, like authentication, authorization, exploit protection, and more. The filters are executed in a spec

docs.spring.io

Spring Security의 Servlet 지원은 Servlet Filters에 기반을 두고 있다.

따라서 일반적인 필터의 역할을 먼저 살펴보아야 한다.

단일 HTTP 요청에 대한 핸들러 계층

클라이언트가 애플리케이션에 HTTP 요청을 보내면, 웹 컨테이너는 요청 URI 경로를 기반으로 처리할 FilterChain을 만든다.

FilterChain은 여러개의 Filter 인스턴스와 하나의 Servlet으로 구성되어있으며, HttpServletRequest가 각 필터를 거쳐 최종적으로 servlet으로 전달된다.

📌 요약. ver

컨테이너는
1. FilterChain을 생성하고,
2. 해당 체인이 URI 경로에 따라 적절한 Filter와 Servlet 사용해 요청을 처리

Spring MVC 애플리케이션에서 Servlet은 DispatcherServlet의 인스턴스이다.

DispatcherServlet은 Spring MVC의 핵심인데, 모든 HTTP 요청을 처리하는 '중앙 진입점'역할을 한다.

한 번에 하나의 Servlet이 특정 HttpServletRequest와 HttpServletResponse를 처리할 수 있지만, 여러개의 Filter는 요청 처리 과정에서 다양한 작업을 수행할 수 있다.

Filter의 역할과 기능

Downstream(후속) 필터 인스턴스나 서블릿이 호출되지 않도록 방지
- 여기서 후속이란, 현재 필터 다음에 실행되는 것(필터/서블릿)을 의미한다.
HttpServletRequest 또는 HttpServletResponse 수정
- ex. 요청을 로깅, 요청 헤더를 추가/수정, 응답의 콘텐츠를 번경할 경우
FilterChain을 통한 강력한 기능 제공
- FilterChain은 현재 필터가 요청 처리를 완료한 후에, 다음 필터/서블릿으로 요청을 전달하는 메커니즘을 제공한다.
- `chain.doFilter(request, response)`를 호출하면 다음 필터 로 요청이 전달되거나, 모든 필터를 통과한 경우 서블릿으로 요청이 전달된다.
- `doFilter()` 호출이 없으면 현재 필터가 요청을 차단하거나 응답을 직접 작성한다.

public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) {
	// do something before the rest of the application
    chain.doFilter(request, response); // invoke the rest of the application
    // do something after the rest of the application
}

필터는 후속 필터 인스턴스와 서블릿에만 영향을 미친다.

따라서 각 필터의 순서가 가장 중요하다.

필터의 실행 순서에 따라 애플리케이션의 동작이 달라질 수 있다.

그렇다면 왜 필터의 실행 순서가 중요할까?

각각 예시를 들어 이해해보자.

필터의 순서가 중요한 이유

1. 필터의 기능이 순서에 따라 달라진다.

첫 번째 경우
1. 인증 필터
2. 권한 검사 필터

위 경우에는 인증이 만약 실패한다면, 권한 검사 필터에 요청이 도달하지 않고 응답이 작성된다.

두 번째 경우
1. 권한 검사 필터
2. 인증 필터

반대로, 인증 필터가 먼저 실행되지 않고 권한 검사 필터가 먼저 실행되면,

인증되지 않은 사용자가 불필요한 권한 검사를 받아 보안 문제가 발생할 수 있다.

2. 요청 및 응답 수정의 순서가 중요하다.

1. 로깅 필터 실행: 요청 정보를 로그로 남긴다.
2. 데이터 압축 필터 실행: 응답 데이터를 압축한다.

위 순서가 바뀌면 로깅 필터가 압축된 데이터를 기록하려고 할 때 문제가 발생할 수 있다.

3. 요청 차단 및 예외 처리

1. CSRF 보호 필터: CSRF 공격 차단
2. 인증 필터

만약 위의 순서가 바뀐다면 인증 필터가 CSRF 공격으로 인해 불필요한 작업을 수행하게 된다.

'Spring Boot' 카테고리의 다른 글

[Spring Security] docs: Architecture(5) - ExceptionTranslationFilter, RequestCache, logging (1)	2024.08.30
[Spring Security] docs : Architecture(4) : FilterChain의 역할과 순서, 커스텀 필터 (3)	2024.08.30
[Spring Security] docs: Architecture (3) - FilterChainProxy & SecurityFilterChain (0)	2024.08.30
[Spring Security] docs: Architecture (2) - DelegatingFilterProxy (4)	2024.08.29
[Spring Security] docs : Getting Started (0)	2024.08.29

🔻 Spring Security docs 게시글 목차

🌱 Spring Security docs 바로가기

단일 HTTP 요청에 대한 핸들러 계층

Filter의 역할과 기능

필터의 순서가 중요한 이유

1. 필터의 기능이 순서에 따라 달라진다.

2. 요청 및 응답 수정의 순서가 중요하다.

3. 요청 차단 및 예외 처리

'Spring Boot' 카테고리의 다른 글

티스토리툴바