​​ 스프링 시큐리티(Spring Security)란?
본문 바로가기
개발

스프링 시큐리티(Spring Security)란?

by 컴밥 2025. 4. 25.

 

우리가 웹 애플리케이션을 개발하다 보면 인증(Authentication)과 권한(Authorization) 관리는 필수입니다. 스프링 시큐리티는 바로 이 인증과 권한을 처리하는 강력한 보안 프레임워크입니다. 스프링 생태계와 밀접하게 통합되어 있어, 스프링 기반 웹 애플리케이션에서는 사실상 표준처럼 사용됩니다.

 


스프링 시큐리티가 해결하는 문제

스프링 시큐리티는 다음과 같은 기능을 제공합니다.

  • 로그인 및 로그아웃 처리
  • 사용자 권한 기반 접근 제어
  • 세션 관리
  • CSRF, XSS 같은 보안 위협 방어
  • OAuth2, JWT 등의 인증 방식 지원

복잡한 보안 로직을 직접 구현하는 대신, 스프링 시큐리티가 제공하는 기능을 이용하면 훨씬 효율적이고 안정적인 시스템을 구축할 수 있습니다.

 

기본 동작 흐름

스프링 시큐리티는 필터 기반의 구조를 가지고 있습니다. 사용자가 요청을 보내면, 여러 개의 보안 필터들이 이 요청을 감시하고 처리합니다.

기본 흐름은 아래와 같습니다.

  1. 사용자가 로그인 요청을 보냄
  2. UsernamePasswordAuthenticationFilter가 요청을 가로채 로그인 처리
  3. 인증에 성공하면 SecurityContextHolder에 사용자 정보 저장
  4. 이후 요청마다 이 정보를 바탕으로 권한 검사 수행

 

간단한 설정 예제

스프링 부트에서 시큐리티를 적용하려면 spring-boot-starter-security 의존성을 추가하면 됩니다.

<!-- build.gradle 또는 pom.xml에 추가 -->
implementation 'org.springframework.boot:spring-boot-starter-security'

 

이후 기본적으로 모든 요청이 인증을 필요로 하게 되며, 브라우저에서 기본 로그인 화면이 나타납니다.

 

사용자 정의 보안 설정하기

보통 실무에서는 다음과 같이 설정 파일을 작성해서 보안 정책을 세밀하게 조정합니

@Configuration
@EnableWebSecurity
public class SecurityConfig {

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http
            .authorizeHttpRequests(auth -> auth
                .requestMatchers("/login", "/public/**").permitAll()
                .anyRequest().authenticated()
            )
            .formLogin(Customizer.withDefaults())
            .logout(Customizer.withDefaults());
        return http.build();
    }
}

 

 

위 코드는 /login과 /public/** 경로는 인증 없이 접근 가능하고, 그 외 요청은 로그인한 사용자만 접근할 수 있도록 설정한 예입니다.

 

사용자 정보는 어떻게 저장하는?

스프링 시큐리티는 사용자 정보를 UserDetails라는 인터페이스로 관리합니다. 사용자 인증에 필요한 정보를 담는 이 인터페이스를 직접 구현해서 DB 사용자 정보를 연동할 수 있습니다.

public class CustomUserDetails implements UserDetails {
    // username, password, roles 등 구현
}

 

그리고 UserDetailsService를 구현해 사용자 정보를 불러오도록 구성하면 됩니다.

 

포인트

  • 스프링 시큐리티는 인증과 권한 관리를 담당하는 보안 프레임워크
  • 기본적으로 모든 요청을 보호하려고 하며, 허용하고 싶은 경로는 명시적으로 지정해야 함
  • 커스터마이징이 매우 유연해서 OAuth2, JWT, 커스텀 로그인 등도 쉽게 구성 가능

 

처음 접하면 복잡해 보일 수 있지만, 스프링 시큐리티는 잘 이해하고 사용하면 아주 강력한 무기가 됩니다. 보안을 직접 구현하는 것보다 훨씬 안전하고 효율적인 선택입니다.

 

 

저작자표시 비영리 변경금지 (새창열림)

'개발' 카테고리의 다른 글

Spring Bean 커스터마이징 방법 – 생명주기 제어하기  (1) 2025.04.28
Spring Bean의 개념과 생명주기 – 객체는 누가 만들고 누가 관리할까  (0) 2025.04.28
마이크로서비스 아키텍처와 Spring Cloud  (1) 2025.04.25
Spring에서 인터셉터 사용하기 – 인증, 로깅 등에 활용하는 방법  (0) 2025.04.25
Spring에서 프로퍼티 파일 다루기 – application.properties와 application.yml  (2) 2025.04.23

관련글 ---------------------------

티스토리툴바