스프링 시큐리티 [1]. 자동 설정과 기능 프리뷰

스프링 문서를 참고하여 정리하였습니다.

Hello Spring Security :: Spring Security

스프링 부트는 다음과 같은 것들을 자동적으로 처리해준다.

• Spring Security의 기본 구성을 사용하도록 설정하여 springSecurityFilterChain이라는 이름의 빈으로 ServeltFilter를 생성한다.
• springSecurityFilterChain은 application 내의 다음과 같은 보안을 담당한다.
  • application URLs 보호
  • 사용자 아이디(username)과 암호(password) validating
  • 로그인 폼으로 리다이렉션
• 사용자 아이디(username)과 콘솔에 기록된 임의로 생성된 암호(password)를 사용하여 UserDetailsService 빈을 생성한다.
• 모든 request에 대해 서블릿 컨테이너에 springSecurityFilterChain이라는 이름의 빈에 필터를 등록한다.

스프링 시큐리티의 기능에 대한 요약은 다음과 같다.

• application과의 상호 작용을 위해 인증된(authenticated) 사용자 필요
• 기본 로그인 폼 생성
• 사용자 아이디(username)과 콘솔에 기록된 암호(password)를 가진 사용자가 form-based authenticate으로 인증할 수 있도록 한다.
• BCrypt를 사용한 스토리지를 통해 암호를 보호
• 로그아웃
• CSRF attack 예방(prevention)
• Session Fixation 보호(protection)
• Security Header 통합(integration)
  • request 보안을 위한 HTTP Strict Transport Security
  • X-Content-Type-Options 통합(integration)
  • Cache Control (나중에 애플리케이션에서 정적 리소스의 캐싱을 허용하도록 재정의할 수 있음)
  • X-XSS-보호 통합(integration)
  • 클릭재킹 방지를 위한 X-Frame-Options 통합(integration)
• 다음과 같은 Servlet API 메서드 통합
  • HttpServletRequest#getRemoteUser()
  • HttpServletRequest.html#getUserPrincipal()
  • HttpServletRequest.html#isUserInRole(java.lang.String)
  • HttpServletRequest.html#login(java.lang.String, java.lang.String)
  • HttpServletRequest.html#logout()