[Spring Security] docs: Architecture (3) - FilterChainProxy & SecurityFilterChain

🔻 Spring Security docs 게시글 목차

[Spring Security] docs : Getting Started

Spring Security는 인증, 권한부여 및 일반적인 공격에 대한 보호를 제공하는 프레임워크이다. 개발자가 보안 설정에 추가적으로 신경쓰지 않더라도 안전한 애플리케이션을 빠르게 구축할 수 있도

kiritoni.tistory.com

2. [Spring Security] docs : Architecture (1) - Filter

[Spring Security] docs : Architecture (1) - Filter

Spring Security docs Hello Spring Security :: Spring SecurityRunning Spring Boot Application $ ./mvnw spring-boot:run ... INFO 23689 --- [ restartedMain] .s.s.UserDetailsServiceAutoConfiguration : Using generated security password: 8e557245-73e2-4286-969a

kiritoni.tistory.com

3. [Spring Security] docs: Architecture (2) - DelegatingFilterProxy

[Spring Security] docs: Architecture (2) - DelegatingFilterProxy

kiritoni.tistory.com

4. [Spring Security] docs: Architecture (3) - FilterChainProxy & SecurityFilterChain

[Spring Security] docs: Architecture (3) - FilterChainProxy & SecurityFilterChain

2024.08.29 - [Spring Boot] - [Spring Security] docs: Architecture (2) - DelegatingFilterProxy [Spring Security] docs: Architecture (2) - DelegatingFilterProxySpring Security docs Hello Spring Security :: Spring SecurityRunning Spring Boot Application $ .

kiritoni.tistory.com

🌱 Spring Security docs 바로가기

Architecture :: Spring Security

The Security Filters are inserted into the FilterChainProxy with the SecurityFilterChain API. Those filters can be used for a number of different purposes, like authentication, authorization, exploit protection, and more. The filters are executed in a spec

docs.spring.io

FilterChainProxy

`FilterChainProxy`란 Spring Security가 제공하는 특별한 필터로, 여러개의 `SecurityFilterChain`을 사용해 요청을 처리할 수 있도록 위임한다.

SecurityFilterChain

`SecurityFilterChain`은 `FilterChainProxy`가 현재 요청에 대해 어떤 필터 인스턴스를 호출할지 결정하는 데 사용된다. 여러 `SecurityFilterChain`을 정의할 수 있고, 각 체인은 서로 다른 필터를 사용할 수 있다. 체인들은 URL패턴에 따라 선택적으로 적용될 수도 있다.

일반적으로 `SecurityFilterChain`과 `FilterChainProxy`는 bean이므로 `DelegatingFilterProxy`에 래핑된다고 생각할 것이다. 하지만 `SecurityFilter`는 `DelegatingFilterProxy`대신 SecurityFilterChain에 등록된다.

이는 여러가지 이점을 제공한다.

1. FilterChainProxy는 시작점이 된다.

Spring Security의 모든 서블릿 관련 기능이 이 필터를 통해 시작되므로, 디버깅 시에는 `FilterChainProxy`에 디버그 포인트를 추가하는 것이 좋다.

2. FilterChainProxy는 보안 필터링의 의 핵심이므로, 필수적인 작업들을 수행한다.

예를 들어, *메모리 누수를 방지하기 위해 *SecurityContext를 초기화한다. 또한 Spring Security를 적용하여 * HttpFirewall 등 특정 유형의 공격으로부터 애플리케이션을 보호한다.

* 🔍 메모리 누수

Spring Security는 SecurityContext를 초기화하여 메모리 누수를 방지한다. 요청이 처리되는 동안 SecurityContext는 인증된 사용자 정보를 포함하고 있는데, 요청 처리가 완료된 후에도 SecurityContext가 올바르게 초기화되지 않으면, 사용자 정보가 메모리에 계속 남아있을 수 있다. 이는 메모리 누수를 일으키고, 애플리케이션 성능에 악영향을 미친다. 이러한 문제를 방지하기 위해 `FilterChainProxy`는 요청 처리 후 항상 SecurityContext를 초기화해준다.

* 🔍 SecurityContext란?

SecurityContext는 Spring Security에서 사용자의 인증 정보와 권한 정보를 담고있는 객체이다. 이를 통해 현재 사용자가 누구인지, 어떤 권한을 갖고 있는지 추적할 수 있다. SecurityContext는 `SecurityContextHolder`에 저장되며, 인증된 사용자에 대한 정보를 제공한다.

* 🔍 HttpFirewall이란?

HttpFirewall은 HTTP요청에 대한 보안 필터링을 수행하여 특정 유형의 공격으로부터 애플리케이션을 보호하는 기능을 제공한다. Spring Security는 기본적으로 `StrictHttpFirewall`을 사용하여 보안이 강화된 필터링을 적용한다. HttpFirewall은 HTTP 요청에서 의심스러운 패턴을 감지하고 이를 차단한다. (Path Traversal, HTTP Response Splitting, Cross-Site Scripting(XSS)) `FilterChainProxy`는 HttpFirewall을 통해 들어오는 모든 HTTP 요청을 검사하고, 문제가 있는 요청을 필터 체인을 거치기 전에 차단한다.

3. SecurityFilterChain의 호출 시점을 결정하는 데 유연성을 제공한다.

서블릿 컨테이너에서는 필터 인스턴스가 오직 URL에 따라 호출된다. 하지만 `FilterChainProxy`는 요청을 처리할 때, `RequestMatcher` 인터페이스를 사용하여 `HttpServletRequest`의 "어떠한 정보"를 기준으로 필터 체인을 결정할 수 있다.

작동 방식으로 예를 들어보자.

A. 요청 처리

클라이언트가 요청을 보내면, 서블릿 컨테이너는 `FilterChain`에 따라 `DelegatingFilterProxy`를 호출한다.

`DelegatingFilterProxy`는 스프링 컨텍스트에서 `FilterChainProxy`빈을 찾아 `doFilter()` 메서드를 호출한다.

`FilterChainProxy`는 요청 URL및 기타 요청 특성에 따라 적절한 `SecurityFilterChain`을 결정한다.

B. RequestMatcher로 적절한 SecurityFilterChain선택

`FilterChainProxy`는 여러 개의 `SecurityFilterChain` 중, 요청에 가장 적합한 체인을 선택한다.

`RequestMatcher` 인터페이스를 사용하여 요청 URL뿐만 아니라 `HttpServletRequest`의 다른 특성 (헤더, 매개변수 등)을 기준으로 `SecurityFilterChain`을 선택할 수 있다. 선택된 첫 번째 SecurityFilterChain만이 호출되며, 다른 체인은 무시된다.

C. SecurityFilterChain의 다중 구성

여러 `SecurityFilterChain`이 있을 수 있으며, 각 체인은 자신만의 보안 필터 인스턴스를 가질 수 있다.

✅ ex 1.

`/api/messages/` URL요청이 들어오면, `SecurityFilterChain(0)`의 `/api/**` 패턴과 일치하므로 `SecurityFilterChain(0)`만 호출된다. 이 요청은 `SecurityFilterChain(n)`에도 일치할 수 있지만, 첫 번째로 일치되는 체인만 실행된다.

✅ ex 2.

`/messages/ ` URL요청은 `/api/**` 패턴에 맞지 않으므로, `FilterChainProxy`는 다른 `SecurityFilterChain`을 계속 시도하여 최종적으로 `SecurityFilterChain(n)`을 호출한다.

'Spring Boot' 카테고리의 다른 글

[Spring Security] docs: Architecture(5) - ExceptionTranslationFilter, RequestCache, logging (1)	2024.08.30
[Spring Security] docs : Architecture(4) : FilterChain의 역할과 순서, 커스텀 필터 (3)	2024.08.30
[Spring Security] docs: Architecture (2) - DelegatingFilterProxy (4)	2024.08.29
[Spring Security] docs : Architecture (1) - Filter (0)	2024.08.29
[Spring Security] docs : Getting Started (0)	2024.08.29

🔻 Spring Security docs 게시글 목차

🌱 Spring Security docs 바로가기

FilterChainProxy

SecurityFilterChain

1. FilterChainProxy는 시작점이 된다.

2. FilterChainProxy는 보안 필터링의 의 핵심이므로, 필수적인 작업들을 수행한다.

3. SecurityFilterChain의 호출 시점을 결정하는 데 유연성을 제공한다.

A. 요청 처리

B. RequestMatcher로 적절한 SecurityFilterChain선택

C. SecurityFilterChain의 다중 구성

'Spring Boot' 카테고리의 다른 글

티스토리툴바