/**
* 기존 프로젝트에서는 클라이언트와 서버간 인증 흐름은 대체로 아래와 같다.
* spring security 에서 제공하는 PasswordEncoder 사용
* - client 가 password 를 Sha256 으로 인코딩 하여 서버로 전달
* - server 는 인코딩 된 패스워드를 passwordEncoder 를 사용하여 DB 에 저장된 패스워드와 match 검사를 한다
* passwordEncoder 를 사용하면 내부적으로 match 검사를 한다.
* -> Basic 인증을 사용한다고 가정.
* 변경후:
* client 와 server 에 보안 인증 모듈을 추가로 탑재 하게 되었다.
* 공개키 방식의 보안 인증 과정은 아래와 같다.
* - client 는 서버가 공개한 public key 로 암호화 하여 Server 로 전달
* - Server는 public key로 암호화된 client 의 data를 private key 로 복호화
* 해당 방식을 그냥 도입할수는 있겠지만 기존 사용자들에 대해서 대응 하기 위해 아래와 같이 해결 하였다.
*
* HttpSecurity를 수행하기전 필터 처리를하도록 addFilterBefore 를 통해 CustormFilter를 등록 하였다.
* CustomFilter 에서는 Request 의 header 값에서 public key 로 암호화된 데이터를 복호화 한 후 다시 기존 방식인 sha256 으로 인코딩 하여
* 인증 로직으로 전달 하도록 하였다.
*/
/**
* Spring Request 흐름을 잠깐 정리 한다면?
* - client 의 Request 요청은 최초에 Filter 로 전달 되게 된다.
- 또한 Filter 는 chain 으로 전달 할 수 있다.
- Filter 로 전달된 데이터는 다시 DispatcherServlet 으로 전달 된다.
- 이 후 인증 / 뷰 / 인터셉터 등을 거쳐 end-point 인 controller 로 전달 된다.
* Behind:
* 초기에는 spring Intercepter 를 사용 하려고 하였으나, Request 를 modify 할 수 없기 때문에 포기 함.
*/
//Spring 은 Filter 를 다양하게 제공 하고 있다.
// Spring 의 OncePerFilter 를 상속 하게 되면 DoFilterInternal 하나만 오버라이드 하게 된다.
// OncePerRequestFilter 는 GenericFilterBean 을 extends 하여 구현됨.
public class AuthorizationFilter extends OncePerRequestFilter {
@Override
protected void doFilterInternal(HttpServletRequest httpServletRequest,
HttpServletResponse httpServletResponse,
FilterChain filterChain) throws ServletException, IOException { }
}
//Spring 의 GenericFilterBean 을 상속하게 되면 doFilter 하나만 오버라이드 하게 된다.
//GenericFilterBean 은 Filter 를 extends 하여 구현됨.
public class AuthorizationFilter extends GenericFilterBean {
@Override
public void doFilter(ServletRequest servletRequest,
ServletResponse servletResponse,
FilterChain filterChain) throws IOException, ServletException {
}
}
//Servlet 의 Filter 를 extends 하게 되면 아래 처럼 강제적으로 오버라이드 해주어야 한다.
public class AuthorizationFilter extends Filter {
@Override
public void init(FilterConfig filterConfig) throws ServletException {}
@Override
public void doFilter(ServletRequest servletRequest,
ServletResponse servletResponse,
FilterChain filterChain) throws IOException, ServletException {}
@Override
public void destroy() {}
}
// 적절하게 찾아서 커스터마이징 하면 될것 같다.
// 우선 프로젝트에서는 OncePerRequestFilter 를 사용하도록 하였다.
// Request 데이터를 가져온 후 복호화 하고, Request 데이터를 다시 setup 하였다.
// Request 데이터를 재설정 하는 방법은 아래 링크를 참조 함.
//https://stackoverflow.com/posts/23590606/revisions
public class CustomFilter extends OncePerRequestFilter {
@Override
protected void doFilterInternal(HttpServletRequest httpServletRequest,
HttpServletResponse httpServletResponse,
FilterChain filterChain) throws ServletException, IOException {
// Request header 값을 변경
// HttpServletRequestWrapper 를 사용하여 Original Request 데이터를 변경후 필터 체인으로 전달
filterChain.doFilter(changeRequest,response);
}
}
// 해당 필터를 아래와 같이 등록 한다.
public class WebSecurityContext extends WebSecurityConfigurerAdapter {
.
.
.
// 인증 실패 및 예외 발생에 대한 엔트리 포인트
@Bean(name = "customAuthEntryPoint")
public CustomAuthEntryPoint customAuthEntryPoint() {
return new CustomAuthEntryPoint();
}
// 액세스 거부 핸들러 등록
@Bean
public AccessDeniedHandler accessDeniedHandler() {
return new CustomAccessDeniedHandler();
}
@Bean
public CustomFilter customFilter() {
return new CustomFilter();
}
@Override
protected void configure(HttpSecurity http) throws Exception {
.
.
.
//bassic 인증을 사용할 경우 아래 와 같이 filter 등록시 해당 필터를 등록 해준다.
http.addFilterBefore(customFilter(),BasicAuthenticationFilter.class);
http.httpBasic().authenticationEntryPoint(authenticationEntryPoint());
http.exceptionHandling().accessDeniedHandler(accessDeniedHandler());
}
}