[Spring Security] docs : Architecture(4) : FilterChain의 역할과 순서, 커스텀 필터

🔻 Spring Security docs  게시글 목차  

1. [Spring Security] docs : Getting Started

[Spring Security] docs : Getting Started

 

 

2. [Spring Security] docs : Architecture (1) - Filter

[Spring Security] docs : Architecture (1) - Filter

 

 

3. [Spring Security] docs: Architecture (2) - DelegatingFilterProxy

[Spring Security] docs: Architecture (2) - DelegatingFilterProxy

 

 

4. [Spring Security] docs: Architecture (3) - FilterChainProxy & SecurityFilterChain

[Spring Security] docs: Architecture (3) - FilterChainProxy & SecurityFilterChain

 

 

 

🌱 Spring Security docs 바로가기

Architecture :: Spring Security

 

 

Spring Security의 보안 필터는 FilterChainProxy에 삽입되며, SecurityFilterChain API를 통해 구성된다. 이 필터들은 특정 순서대로 실행되어야 올바른 타이밍에 호출될 수 있다. 예를 들어, 인증을 수행하는 필터는 권한 부여를 수행하는 필터보다 먼저 호출되어야 한다. 

 

필터의 순서를 항상 외우고 있을 필요는 없지만, 필요할 때에는 `FilterOrderRegistration` 코드를 확인하여 순서를 파악할 수 있다. 

 

📝 보안 구성 및 필터 순서 예제

@Configuration
@EnableWebSecurity
public class SecurityConfig {

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http
            .csrf(Customizer.withDefaults()) // CSRF 필터 추가
            .authorizeHttpRequests(authorize -> authorize
                .anyRequest().authenticated() // 모든 요청에 대해 인증 필요
            )
            .httpBasic(Customizer.withDefaults()) // HTTP 기본 인증 필터 추가
            .formLogin(Customizer.withDefaults()); // 폼 로그인 필터 추가
        return http.build();
    }
}

 

이 구성은 다음과 같은 순서로 필터를 추가한다. 

Filter	추가 방법
CsrfFilter	HttpSecurity#csrf
UsernamePasswordAuthenticationFilter	HttpSecurity#formLogin
BasicAuthenticationFilter	HttpSecurity#httpBasic
AuthorizationFilter	HttpSecurity#authorizeHttpRequests

 

1. CsrfFilter

첫 번째로 실행되어 CSRF(Cross-Site Request Forgery) 공격을 방지한다. 

2. 인증 필터

두 번째로 실행되어 요청을 인증한다. 

`UsernamePasswordAuthenticationFilter`(폼 로그인을 통한 인증) 와 `BasicAuthenticationFilter`(HTTP 기본 인증)가 인증 필터에 해당한다.

3. AuthorizationFilter

마지막으로 실행되어 권한을 부여한다. 

요청이 인증되었는지 확인한 뒤, 사용자가 요청에 액세스할 권한이 있는지 확인한다. 

 

필터를 추가하거나 기존 필터의 동작을 변경하려면, 필터가 정확한 순서로 실행되도록 보장해야 한다. 따라서 필터의 순서를 알아두는 것이 좋다. 

 

보안 필터 목록은 애플리케이션 시작 시 INFO 수준에서 콘솔에 출력된다. 다음과 같이 내용을 볼 수 있다. 

 

2023-06-14T08:55:22.321-03:00  INFO 76975 --- [           main] o.s.s.web.DefaultSecurityFilterChain     : Will secure any request with [
org.springframework.security.web.session.DisableEncodeUrlFilter@404db674,
org.springframework.security.web.context.request.async.WebAsyncManagerIntegrationFilter@50f097b5,
org.springframework.security.web.context.SecurityContextHolderFilter@6fc6deb7,
org.springframework.security.web.header.HeaderWriterFilter@6f76c2cc,
org.springframework.security.web.csrf.CsrfFilter@c29fe36,
org.springframework.security.web.authentication.logout.LogoutFilter@ef60710,
org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter@7c2dfa2,
org.springframework.security.web.authentication.ui.DefaultLoginPageGeneratingFilter@4397a639,
org.springframework.security.web.authentication.ui.DefaultLogoutPageGeneratingFilter@7add838c,
org.springframework.security.web.authentication.www.BasicAuthenticationFilter@5cc9d3d0,
org.springframework.security.web.savedrequest.RequestCacheAwareFilter@7da39774,
org.springframework.security.web.servletapi.SecurityContextHolderAwareRequestFilter@32b0876c,
org.springframework.security.web.authentication.AnonymousAuthenticationFilter@3662bdff,
org.springframework.security.web.access.ExceptionTranslationFilter@77681ce4,
org.springframework.security.web.access.intercept.AuthorizationFilter@169268a7]

 

📝 커스텀 필터

Spring Security는 애플리케이션에 필요한 기본 보안 필터들을 제공하지만, 특정 요구사항에 맞는 커스텀 필터를 추가할 수도 있다. 예를 들어, 사용자가 현재 요청의 tenant ID 헤더를 확인하여 해당 테넌트에 대한 접근 권한이 있는지 확인하는 필터를 추가하고 싶을 수도 있다. 

 

🔻 참고자료: Tenant 란?

Tenant는 '임차인'이라는 뜻을 가지고 있다. 즉 자신의 건물이 아닌, 다른 건물을 빌려서 사용하는 주체이다. 여기서의 테넌트는 클라우드 컴퓨팅, Saas(Software as a Service) 애플리케이션에서의 임차인을 말한다. 자신의 자원이 아닌 서비스 제공자의 클라우드 자원을 빌려서 서비스를 이용하는 주체가 Tenant이다. 클라우드 하나의 자원을 쪼개서 tenant들에게 제공하는 것은 Multi Tenancy라고 한다. 테넌트마다 고유 ID가 있다. 요청이 들어올 때 시스템은 테넌트 ID 헤더 등을 통해 요청자가 어떤 테넌트인지 파악하고, 해당 테넌트에 맞는 로직을 수행한다. 테넌트의 예시로는 클라우드 기반 이메일 서비스 (Microsoft 365, Google Workspace), ERP 시스템 (SAP, Oracle ERP), 소셜 미디어 또는 협업 툴 (Slack, Jira) 등이 있다. 요약하면, 테넌트는 다중 테넌트 환경에서 애플리케이션을 공유하는 각각의 고객이나 사용자 그룹을 말한다. 각 테넌트는 자체적으로 데이터를 관리하고, 애플리케이션 내부적으로는 다른 테넌트와 격리된 상태로 존재한다. 

 

1. 커스텀 필터 생성 (`TenantFilter`)

import java.io.IOException;
import jakarta.servlet.Filter;
import jakarta.servlet.FilterChain;
import jakarta.servlet.ServletException;
import jakarta.servlet.ServletRequest;
import jakarta.servlet.ServletResponse;
import jakarta.servlet.http.HttpServletRequest;
import jakarta.servlet.http.HttpServletResponse;
import org.springframework.security.access.AccessDeniedException;

public class TenantFilter implements Filter {

    @Override
    public void doFilter(ServletRequest servletRequest, ServletResponse servletResponse, FilterChain filterChain) throws IOException, ServletException {
        HttpServletRequest request = (HttpServletRequest) servletRequest;
        HttpServletResponse response = (HttpServletResponse) servletResponse;

        // 요청 헤더에서 테넌트 ID를 가져옴
        String tenantId = request.getHeader("X-Tenant-Id"); 

        // 현재 사용자가 테넌트에 접근할 수 있는지 확인
        boolean hasAccess = isUserAllowed(tenantId); 
        if (hasAccess) {
            filterChain.doFilter(request, response); // 다음 필터로 요청을 전달
            return;
        }
        // 접근 권한이 없을 경우 예외를 발생시킴
        throw new AccessDeniedException("Access denied"); 
    }

}

 

2. 커스텀 필터를 보안 필터 체인에 추가하기

@Bean
SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
    http
        // 기존 보안 설정들 ...
        .addFilterBefore(new TenantFilter(), AuthorizationFilter.class); // AuthorizationFilter 앞에 TenantFilter를 추가
    return http.build();
}

 

3. 필터를 스프링 빈으로 선언할 때 중복 호출을 방지해야 한다!

커스텀 필터를 스프링 빈으로 등록할 때 (`@Component`를 사용하거나 구성 클래스에서 직접 빈을 선언할 때) 주의가 필요하다. 

Spring Boot는 기본적으로 Spring 빈으로 등록된 필터를 내장 컨테이너에 자동으로 등록한다. 

이 경우, 필터가 컨테이너에 의해 한 번 호출되고, 스프링 세큐리티에 의해 중복 호출될 수 있다. 필터가 두 번 호출되면 잘못된 순서로 실행되는 문제를 일으킬 가능성이 있다. 

 

중복 호출을 방지하기 위해서 `FilterRegistrationBean`을 사용하여 필터의 등록을 비활성화해야 한다. 

@Bean
public FilterRegistrationBean<TenantFilter> tenantFilterRegistration(TenantFilter filter) {
    FilterRegistrationBean<TenantFilter> registration = new FilterRegistrationBean<>(filter);
    registration.setEnabled(false); // 컨테이너에 필터 등록 비활성화
    return registration;
}

 

결과적으로 `TenantFilter`는 인증 필터들 이후, 권한 부여 필터 이전에 호출된다. 커스텀 필터를 추가하여 Spring Security의 보안 체인을 확장하고 보다 세밀하게 제어할 수 있게 된다.