[Spring Security] 보안구성 설정하기 - context-security.xml(전자정부 모듈 포함)

 

|Spring Security란?

Spring Security는 Spring 기반의 애플리케이션에 보안 기능을 추가할 수 있도록 설계된 프레임워크이다. 인증(Authentication)과 권한부여(Authorization)을 위한 포괄적이고 확장 가능한 솔루션을 제공한다.

Spring Security는 메서드 수준, URL 수준에서 보안 등 보안 수준을 설정할 수도 있다.

 

Spring Security를 사용할 경우 개발자가 보안 관련 코드를 직접 작성하지 않아도 간단히 사용할 수 있도록 고안되었는데 주요 기능은 다음과 같다.

 

• 인증: 사용자가 누구인지 확인하는 과정. 예를 들어, 사용자 이름과 비밀번호를 사용한 로그인 과정이 여기에 해당한다.
• 권한 부여: 인증된 사용자가 특정 자원에 접근하거나 작업을 수행할 수 있는 권한을 가지고 있는지 결정하는 과정.
• CSRF(Cross-Site Request Forgery) 보호: 웹 애플리케이션을 CSRF 공격으로부터 보호한다.
• 세션 관리: 세션 고정 공격 방지, 동시 세션 제어, 세션 만료 관리 등의 기능을 제공한다.
• LDAP, 폼 기반 인증, Basic 인증 등 다양한 인증 메커니즘 지원: 다양한 인증 방법을 쉽게 구현할 수 있도록 지원한다.

 

| context-security.xml 뜯어보기

context-security.xml 설정 파일은 Spring Security를 사용하여 애플리케이션의 보안 구성을 정의하는 설정파일이다. 

	<security:http pattern="/auth/login.do" security="none"/>
	<security:http pattern="/favicon.ico" security="none"/>
	<security:http pattern="/css/**" security="none"/>
	<security:http pattern="/html/**" security="none"/>
    <security:http pattern="/images/**" security="none"/>
 	<security:http pattern="/js/**" security="none"/>
 	<security:http pattern="/resource/**" security="none"/>
 	<security:http pattern="\A/WEB-INF/jsp/.*\Z" request-matcher="regex" security="none"/>

    <egov-security:config id="securityConfig"
		loginUrl="/auth/login.do"
		logoutSuccessUrl="/"
		loginFailureUrl="/auth/login.do?code=failure"
		accessDeniedUrl="/auth/login.do?code=denied"
		dataSource="egov.dataSource"
		jdbcUsersByUsernameQuery="SELECT m.USER_ID, m.USER_ID AS PSWD, 1 ENABLED, m.user_nm, '' as USER_ZIP,
                                                              '' as USER_ADRES, '' as USER_EMAIL, 'GNR' as USER_SE, '' as ORGNZT_ID, m.user_id as ESNTL_ID,
                                                              m.inst_nm as ORGNZT_NM,
                                                              (
																SELECT author_cd
																FROM author
																WHERE del_yn = 'N'
																AND user_id = m.user_id
																ORDER BY author_sn DESC
																LIMIT 1
                                                              ) as AUTZR_CD
                                                       FROM user_info m
                                                       WHERE m.id_del_yn = 'N' AND concat('GNR', m.user_id) = ?"
		jdbcAuthoritiesByUsernameQuery="select user_id,
						   case author_cd
							when 'OP' then 'ROLE_OPER'
							when 'AD' then 'ROLE_ADMIN'
							else 'ROLE_USER' end as authority
					from author where del_yn = 'N' and user_id = ?"
		jdbcMapClass="chungnam.portal.sec.security.common.EgovSessionMapping"

		requestMatcherType="regex"
		hash="plaintext"
		hashBase64="false"

		concurrentMaxSessons="1"
		concurrentExpiredUrl="/auth/login.do"
		errorIfMaximumExceeded="false"

		defaultTargetUrl="/index.do"
		alwaysUseDefaultTargetUrl="true"

		sniff="true"
		xframeOptions="SAMEORIGIN" 
		xssProtection="true" 
		cacheControl="false"
		csrf="false"
		csrfAccessDeniedUrl="/egovCSRFAccessDenied.do"
	/>

	<egov-security:secured-object-config id="securedObjectConfig"
		sqlHierarchicalRoles="
			SELECT a.CHLDRN_ROLE as child, a.PARNTS_ROLE parent
			FROM COMTNROLES_HIERARCHY a LEFT JOIN COMTNROLES_HIERARCHY b on (a.CHLDRN_ROLE = b.PARNTS_ROLE)"
		sqlRolesAndUrl="
			SELECT a.ROLE_PTTRN url, b.AUTHOR_CODE authority
			FROM COMTNROLEINFO a, COMTNAUTHORROLERELATE b
			WHERE a.ROLE_CODE = b.ROLE_CODE
				AND a.ROLE_TY = 'url'  ORDER BY a.ROLE_SORT"
		sqlRolesAndMethod="
			SELECT a.ROLE_PTTRN as 	&quot;method&quot;, b.AUTHOR_CODE authority
			FROM COMTNROLEINFO a, COMTNAUTHORROLERELATE b
			WHERE a.ROLE_CODE = b.ROLE_CODE
			AND a.ROLE_TY = 'method'  ORDER BY a.ROLE_SORT"
		sqlRolesAndPointcut="
			SELECT a.ROLE_PTTRN pointcut, b.AUTHOR_CODE authority
			FROM COMTNROLEINFO a, COMTNAUTHORROLERELATE b
			WHERE a.ROLE_CODE = b.ROLE_CODE
			AND a.ROLE_TY = 'pointcut'  ORDER BY a.ROLE_SORT"
		sqlRegexMatchedRequestMapping="
			SELECT a.ROLE_PTTRN uri, b.AUTHOR_CODE authority
			FROM COMTNROLEINFO a, COMTNAUTHORROLERELATE b
			WHERE a.ROLE_CODE = b.ROLE_CODE
			AND a.ROLE_TY = 'regex'  
			ORDER BY a.ROLE_SORT"
	/>

	<egov-security:initializer id="initializer" supportMethod="true" supportPointcut="false" />

    <!-- URL에 세미콜론(semicolon)허용 여부(기본값/false) -->
	<bean id="egovStrictHttpFirewall" class="org.springframework.security.web.firewall.StrictHttpFirewall">
		<property name="allowSemicolon" value="true"/>
	</bean>
	<security:http-firewall ref="egovStrictHttpFirewall"/>


</beans>

 

1. 보안 예외 처리하기

<security:http pattern="/auth/login.do" security="none"/>

 

위 코드는 특정 URL 패턴에 대한 보안 필터 적용을 예외로 처리하는 기능이다. 로그인 페이지의 경우 모든 사용자가 접근 가능해야하므로 로그인 페이지에 해당하는 URL에 Spring Security 기능을 꺼둔 것이다.

즉, 사용자가 /auth/login.do URL에 접근할 때, 인증(로그인) 절차 없이도 접근이 가능하도록 설정하는 것이다.

일반적으로 로그인 페이지나, 공개적으로 접근 가능해야 하는 자원(예: CSS, JS 파일 등)에 이러한 설정을 사용한다.

 

2. <egov-security:config> 전자정부 프레임워크 확장 기능

전자정부에서 제공하는 확장 설정으로 Spring Security를 사용하여 인증 및 권한 부여, 로그인 및 로그아웃 처리, 세션 관리 등의 보안 관련 설정을 커스터마이즈하기 위한 다양한 속성을 제공한다. 주요 기능은 아래와 같다.

• 로그인 및 로그아웃 관련 URL 설정: 사용자가 로그인하거나 로그아웃할 때 이동할 URL을 지정한다.
  • loginUrl: 로그인 페이지의 URL
  • logoutSuccessUrl: 로그아웃 성공 시 리디렉션될 URL
  • loginFailureUrl: 로그인 실패 시 리디렉션될 URL
  • accessDeniedUrl: 접근 권한이 없을 때 리디렉션될 URL
• 데이터 소스 및 사용자 정보 조회 설정: 인증 과정에서 사용자 정보를 조회하기 위한 SQL 쿼리와 데이터 소스를 지정
  • dataSource: 사용자 정보를 조회할 때 사용할 데이터 소스의 빈 이름
  • jdbcUsersByUsernameQuery: 사용자 이름으로 사용자 정보를 조회할 SQL 쿼리
  • jdbcAuthoritiesByUsernameQuery: 사용자의 권한 정보를 조회할 SQL 쿼리
• 세션 관리: 동시 로그인 세션 수를 제한하고, 세션 만료 시의 처리를 설정
  • concurrentMaxSessons: 동시에 허용되는 최대 세션 수
  • concurrentExpiredUrl: 세션 만료 시 리디렉션될 URL
• 보안 관련 헤더 설정: 웹 애플리케이션 보안을 강화하기 위한 여러 HTTP 헤더 설정을 제공
  • sniff: 브라우저의 MIME 타입 스니핑을 방지
  • xframeOptions: 클릭재킹 공격으로부터 보호하기 위해 프레임 내에서의 페이지 렌더링을 제한
  • xssProtection: 브라우저의 XSS 필터를 활성화
  • cacheControl: 브라우저 캐싱을 비활성화
  • csrf: 사이트 간 요청 위조(CSRF) 공격 방지 기능의 활성화/비활성화를 설정

 

3. <egov-security:secured-object-config>  전자정부 프레임워크 보안 모듈

<egov-security:secured-object-config> 태그는 애플리케이션 내의 보안 객체(URL, 메서드, 포인트 컷)에 대한 접근 제어 정책을 데이터베이스를 통해 동적으로 관리하기 위한 설정이다. 이 설정을 통해 개발자는 데이터베이스에 저장된 권한 정보를 기반으로 특정 URL이나 메서드에 대한 접근 권한을 세밀하게 제어할 수 있다. 주요 기능은 다음과 같다.

 

• 권한 계층 설정 (sqlHierarchicalRoles): 권한 간의 계층 구조를 정의한다. 이를 통해 상위 권한이 하위 권한을 자동으로 포함하는 관계를 설정할 수 있다. 예를 들어, 관리자 권한이 사용자 권한을 포함하는 관계 등을 정의할 수 있습니다.
• URL 기반 접근 제어 설정 (sqlRolesAndUrl): 특정 URL 패턴에 접근할 수 있는 권한을 데이터베이스 쿼리를 통해 정의한다. 이를 통해 각 URL에 대한 접근 권한을 동적으로 관리할 수 있다.
• 메소드 기반 접근 제어 설정 (sqlRolesAndMethod): 특정 메소드 호출에 대한 접근 제어를 데이터베이스 쿼리를 통해 설정한다. 이는 서비스 레이어의 메소드에 대한 권한을 관리하는 데 사용된다.
• 포인트컷 기반 접근 제어 설정 (sqlRolesAndPointcut): AspectJ 포인트컷 표현식을 사용하여 지정된 포인트컷에 대한 접근 제어를 데이터베이스 쿼리를 통해 설정한다. 이는 AOP(Aspect-Oriented Programming)를 활용한 보안 정책을 구현할 때 사용된다.
• 정규 표현식 매칭 URL 접근 제어 설정 (sqlRegexMatchedRequestMapping): 정규 표현식을 사용하여 URL 패턴을 매칭하고, 해당 URL에 대한 접근 권한을 데이터베이스 쿼리를 통해 설정한다. 이는 더 복잡한 URL 패턴의 접근 제어를 가능하게 한다.

 

3. <egov-security:initializer> 보안 모듈 초기화 설정

애플리케이션의 보안 초기화 시 어떤 보안 기능을 활성화 할지 결정할 수 있다. 이를 통해 초기 보안 설정을 간편하게 구성할 수 있게 도와주며 개발자가 애플리케이션의 보안 요구 사항에 맞춰 필요한 보안 기능을 선택적으로 활성화할 수 있게 해준다.

• supportMethod="true": 이 속성이 true로 설정되면, 메소드 수준에서의 보안 설정을 활성화한다. 즉, 특정 메소드 호출에 대한 접근 제어를 구현할 수 있게 됩니다. 이는 서비스 레이어나 컨트롤러 레이어에서 특정 비즈니스 로직의 실행 권한을 세밀하게 제어하는 데 사용된다.
• supportPointcut="false": 이 속성이 false로 설정되면, 포인트컷을 사용한 보안 설정은 비활성화된다. 포인트컷을 사용한 보안 설정은 AspectJ 표현식을 활용하여, 애플리케이션의 다양한 지점(예: 메소드 실행 전후, 객체 생성 시 등)에 보안 로직을 적용하는 고급 기능이다. 이 설정이 false라는 것은 해당 애플리케이션에서는 이러한 방식의 보안 설정을 사용하지 않겠다는 의미이다.

 

4. StrictHttpFirewall  

 

Spring Security의 HTTP 방화벽 구성을 커스터마이징하여 URL 내에 세미콜론(;)을 허용하도록 설정하는 예시이다. 기본적으로, Spring Security의 StrictHttpFirewall 구현은 URL에 세미콜론을 포함하는 요청을 차단합니다. 이는 세미콜론을 사용하여 발생할 수 있는 여러 보안 취약점, 예를 들어 세미콜론을 이용한 HTTP 파라미터 오염 공격을 방지하기 위함이다. 하지만 이 설정을 통해 세미콜론을 허용할 수 있다.

 

이 방식이 권장되지는 않으나 특정 애플리케이션 또는 레거시 시스템에서 URL의 세미콜론을 필요로 하는 경우가 있어 이 대 보안정책을 유연하게 조정해야할 때 사용할 수 있다. 정말 필요할 때만 사용할 것!

 

• StrictHttpFirewall 빈 정의: org.springframework.security.web.firewall.StrictHttpFirewall 클래스의 인스턴스를 빈으로 선언한다. 이 클래스는 Spring Security의 HTTP 요청에 대한 방화벽 역할을 한다.
• allowSemicolon 프로퍼티: true로 설정함으로써, URL 내 세미콜론의 사용을 허용한다. 기본값은 false로, 세미콜론을 포함한 요청은 차단된다.
• 방화벽을 Spring Security 설정에 적용: <security:http-firewall> 태그를 사용하여 egovStrictHttpFirewall 빈을 Spring Security의 HTTP 방화벽으로 지정합니다. 이를 통해 전체 애플리케이션에 대한 HTTP 요청 검사 방식을 커스터마이징한.