[김선호] 2단계 - 리다이렉트 필터 & OAuth2 인증 필터 리뷰 요청드립니다 🚀 #21
Conversation
- spring security 컨텍스트를 벗어나는 oauth2 프로토콜 그 자체와 매핑되는 클래스이므로 root.oauth2 패키지로 위치 변경
- src.security.oauth2.core/web/registration/userinfo - src.oauth2
…tionRepository 구현
- generates OAuth2AuthorizationRequest contains Redirect URI
- generates ClientRegistration using OAuth2ClientProperties
- save authorizationRequest to HTTP Session
- Lazy initialization 사용
- OAuth2ClientProperties를 직접 사용하지 않고 ClientRegistration을 사용하도록 변경
- OAuth2 Client를 직접 의존하지 않도록 변경 - OAuth2AuthorizationCodeAuthenticationProvider를 통해 AccessToken을 조회하도록 변경
haero77
changed the title
haero77
changed the title
| public interface ClientRegistrationRepository { | ||
|
|
||
| ClientRegistration findByRegistrationId(String registrationId); | ||
| } |
There was a problem hiding this comment.
Q. Security에서 왜 어떤 의존성은 주입받고, 어떤 의존성은 자체적으로 생성하는지에 대한 의문
ClientRegistrationRepository를 구현하다가 문득 이런 생각이 들더군요.
Security 코드를 보면 ClientRegistrationRepository는 생성자를 통해 의존성을 주입받는데, 왜 어떤 필드는 생성자에서 직접 인스턴스를 생성할까? 또, 왜 어떤 필드는 생성자가 아닌 인스턴스 필드 선언 시 인스턴스를 생성하고 있을까?
스스로도 의존성을 주입 받을지, 생성자에서 인스턴스를 생성할지, 필드 선언 시에 인스턴스를 생성할지 평소 고민하고 있던 부분이기 때문에 이참에 확실히 기준점을 잡아봐야겠다는 생각이 들었습니다. 그리고 자체적으로 삼은 기준은 다음과 같습니다.
- 생성자를 통한 의존성 주입
- 해당 의존성이 이미 스프링 빈으로 관리되어 별도의 인스턴스 생성이 불필요한 경우
- 다형성으로 인해 런타임에 의존성을 주입받아야하는 경우
- 생성자에서 인스턴스 생성
- 인스턴스를 생성해야하는 대상의 생성자를 호출할 때, 의존성을 주입해야하고, 해당 의존성을 현재 생성자에서 주입받고 있는 경우 (e.g.
OAuth2AuthorizationRequestRedirectFilter에서authorizationRequestResolver생성 시clientRegistrationRepository주입)
- 인스턴스를 생성해야하는 대상의 생성자를 호출할 때, 의존성을 주입해야하고, 해당 의존성을 현재 생성자에서 주입받고 있는 경우 (e.g.
- 필드 선언시 인스턴스 생성
- 위 경우가 아닌 경우 또는 강결합을 통해 객체간 연관성을 강하게 부여하고 싶은 경우
Security도 비슷한 기준으로 의존성을 관리한 것 같은데 혹시 제가 생각하는 방향이 맞을지, 또 위에 대한 리뷰어님의 의견은 어떤지 궁금합니다..!
There was a problem hiding this comment.
Spring Security에서 어떤 의존성은 생성자를 통해 주입받고, 어떤 의존성은 직접 생성하는지에 대한 고민은 좋은 궁금증이라고 생각합니다. 그럼 저도 제 생각을 한번 정리해보겠습니다.
Security 내부에서 ClientRegistrationRepository 같은 객체는 생성자를 통해 의존성을 주입받는 방식으로 구현되어있습니다. 이는 이미 스프링 컨테이너에서 관리되는 빈이므로 별도로 인스턴스를 생성할 필요가 없기 때문입니다. 또한, 다형성이 필요한 경우 런타임에 원하는 구현체를 주입받아 동작해야 하기 때문에 생성자 주입을 통해 확장성을 확보하는 것이라고 볼 수 있습니다.
반면, OAuth2AuthorizationRequestRedirectFilter 내부에서 authorizationRequestResolver를 직접 생성하는 경우를 보면, 이 객체는 특정 로직 내에서만 사용되며 외부에서 관리할 필요가 없는 단순한 객체이기 때문에 생성자에서 직접 인스턴스를 생성하는 방식을 선택한 것 같습니다.
그리고 필드 선언 시 인스턴스를 생성하는 경우 있는데, 이 방식은 객체 간 강한 연관성이 필요한 경우 또는 불필요한 주입 과정을 생략하고 객체를 빠르게 초기화하는 것이 더 적절한 경우 사용되는 것 같습니다.
이 것은 저의 관점이니 참고만 해주셔도 좋을 것 같아요.
| import org.springframework.lang.Nullable; | ||
| import org.springframework.util.Assert; | ||
|
|
||
| public class HttpSessionOAuth2AuthorizationRequestRepository implements AuthorizationRequestRepository { |
There was a problem hiding this comment.
AuthorizationRequestRepository의 주 목적이 state 값을 검증하는 것으로 알고 있는데, 아직 명확하게 state에 대한 필요성을 느끼지 못해서 우선 이 부분은 생략하고 구현했습니다.
state를 사용하는 주 목적이 CSRF 공격 방어 정도로 이해하고 있는데, 혹시 state값이 CSRF 공격 방어 외에 다른 용도로 사용되는 곳이 있을지, 또 필수적으로 구현하는게 맞을지 리뷰어님 의견이 궁금합니다..!
There was a problem hiding this comment.
state를 통해 클라이언트가 앞서 보낸 요청에 대한 응답인지를 판단하게 됩니다.
만약 피해자가 피싱사이트에 노출이 되어 로그인을 진행하였을 때 state값이 없는 경우 code 가로채기나 조작을 하게 되는 경우 의도하지 않은 상황을 맞이하게 됩니다.
|
|
||
| public class OAuth2ClientPropertiesMapper { | ||
|
|
||
| private final OAuth2ClientProperties properties; |
There was a problem hiding this comment.
특정 서드파티에 종속적이지 않게 구현하고 이를 위해 설정값을 관리하는 매퍼 구현 👍
| new OAuth2AuthorizationRequestRedirectFilter(clientRegistrationRepository), | ||
| new OAuth2LoginAuthenticationFilter(oAuth2UserService, clientRegistrationRepository), |
There was a problem hiding this comment.
현재는 clientRegistrationRepository를 주입받고 있군요!
실제 OAuth2AuthorizationRequestRedirectFilter의 경우에도 직접 주입 받는데 잘 구현하셨네요 👍
| private final ClientRegistrationRepository clientRegistrationRepository; | ||
| private final AuthorizationRequestRepository authorizationRequestRepository = HttpSessionOAuth2AuthorizationRequestRepository.getInstance(); |
There was a problem hiding this comment.
두 객체는 다른 방식으로 의존성을 주입하고 있는데 기준은 무엇이였나요?
There was a problem hiding this comment.
주입 방식을 결정지은 기준은 '스프링 빈으로 등록되었는가' 입니다. 스프링 빈으로 등록되었다면 의존성을 스프링 컨테이너로 주입하고, 그렇지 않다면 생성자 또는 지금처럼 팩토리 메서드 호출로 의존성을 주입합니다.
그럼 결국 '무엇을 스프링 빈으로 등록할 것인가'. 에 따라 의존성 주입 방식이 달라진다는 것이니, 이 기준이 어떻게 정해졌는지 제 생각을 말씀드려볼게요.
AuthorizationRequestRepositoryHttpSessionOAuth2AuthorizationRequestRepository외에 추가적으로 구현체가 생길 여지가 드물어 스프링 빈으로 등록하지 않음. (다형성을 이용하여 런타임에 구현체를 주입받을 필요가 없음)- 추가로 인스턴스 초기화 과정이 비교적 단순하므로, 기본 생성자 호출 또는 팩터리 메서드 호출을 통해 의존성을 주입.
ClientRegistrationRepository- 다형성을 이용하여 런타임에 구현체를 주입받기 위해 스프링 빈으로 등록.
- 추가로 미션에서는 구현체가
InMemoryClientRegistrationRepository1개로 유지되지만, 인스턴스 초기화 과정에서 ClientRegistration을 미리 가공하는 등 초기화 과정이 복잡하므로 컨테이너 주입의 편리성 이용.
추가로, HttpSessionOAuth2AuthorizationRequestRepository의 경우 상태(sessionAttributeName)를 갖긴 하지만, 해당 상태가 모든 인스턴스마다 동일하게 유지되어 싱글톤으로 설계하였고, 이에 따라 팩토리 메서드 호출로 의존성을 주입하게 되었습니다..!
(실제 시큐리티에서는 생성자 호출로 의존성을 주입하던데 이 부분의 경우 HttpSessionOAuth2AuthorizationRequestRepository의 의존성을 주입받는 곳이 많지 않다보니 이렇게 설계한 것인가 싶긴 하네요 ㅎㅎ)
| import java.util.Map; | ||
| import java.util.Objects; | ||
|
|
||
| public class DefaultOAuth2UserService implements OAuth2UserService { |
There was a problem hiding this comment.
DefaultOAuth2UserService는 왜 기본 구현체를 두셨나요? 이는 언제 사용하게 되나요?
There was a problem hiding this comment.
OAuth 2.0 로그인 과정의 마지막 부분에서, Resource Server의 유저 정보를 이용하여 신규 가입 여부를 판단해야하는 로직이 있는데 이 때 유저 정보를 가져오는 역할을 수행하기 하기 위해 기본 구현체를 두게 되었습니다. 또, 액세스 토큰을 이용하여 Resource Server에 접근하여 유저 리소스를 가져오는 것은 OAuth 2.0 기본 스펙이다 보니, 기본 구현체가 이 역할을 하는 것이 적절하다고 생각이 들었습니다.
이렇게 구현하고 나니까 앱 개발자는 기본 구현체를 상속 받아서 추가적으로 커스텀 로직을 핀포인트로 딱 집어서 작성할 수 있어서 좋더라고요 :)
TMI) 제가 이 미션을 구현하면서 '프레임워크의 기본 구현체를 상속받아 로직을 작성을 해볼 수도 있구나' 를 깨닫게 되어 실무에서도 이를 활용해볼 수 있었습니다..! (서블릿 필터 레벨에서 발생한 인증 예외를 스펙에 따라 커스텀해야하는 요구사항이 있었는데 이 때 BasicErrorController를 상속해서 구현했습니다..! 정확히 필요한 부분만 커스텀할 수 있어서 전체 예외 처리 아키텍처도 깔끔하게 유지되는 경험을 할 수 있었습니다 :))
| private OAuth2AccessToken exchangeToAccessToken(OAuth2LoginAuthenticationToken loginAuthenticationToken) { | ||
| Authentication unAuthenticated = OAuth2AuthorizationCodeAuthenticationToken.unauthenticated( | ||
| loginAuthenticationToken.getClientRegistration(), | ||
| loginAuthenticationToken.getAuthorizationExchange() | ||
| ); | ||
|
|
||
| OAuth2AuthorizationCodeAuthenticationToken authenticated = | ||
| (OAuth2AuthorizationCodeAuthenticationToken) this.authorizationCodeAuthenticationProvider.authenticate(unAuthenticated); | ||
|
|
||
| return authenticated.getAccessToken(); |
| private final OAuth2AuthorizationRequestResolver authorizationRequestResolver; | ||
| private final AuthorizationRequestRepository authorizationRequestRepository = HttpSessionOAuth2AuthorizationRequestRepository.getInstance(); | ||
|
|
||
| public OAuth2AuthorizationRequestRedirectFilter(ClientRegistrationRepository clientRegistrationRepository) { | ||
| this.authorizationRequestResolver = new DefaultOAuth2AuthorizationRequestResolver( | ||
| OAUTH2_LOGIN_REQUEST_URI_PREFIX, | ||
| clientRegistrationRepository | ||
| ); | ||
| } |
| } | ||
|
|
||
| @Nullable | ||
| private String resolveRegistrationId(HttpServletRequest request) { |
There was a problem hiding this comment.
사실 이 부분은 스프링 시큐리티와 다르게 구현되어있는 부분인데요,
실제 코드 처럼 Matcher를 사용하게 하려면 어떻게 하면 좋을까요?
구현이 어려우면 계획 정도 공유주셔도 좋아요.
There was a problem hiding this comment.
실제 코드 처럼 Matcher를 사용하게 하려면 다음과 같이 구현해볼 것 같습니다!
As Is
- DefaultOAuth2AuthorizationRequestResolver 인스턴스 생성 시, OAuth2 인증 요청 URI prefix인
/oauth2/authorization/를 전달. resolveRegistrationId()에서 직접 HTTP Request URI를 문자열로 비교하여 registrationId 추출.
To Be
- 특정 URI의 prefix가 일치하면 request 매칭 여부를 참으로 판단하는 RequestMatcher의 구현체 UriPrefixMatcher 구현.
DefaultOAuth2AuthorizationRequestResolver인스턴스 생성 시, UriPrefixMatcher 인스턴스를 생성하여 파라미터로 넘긴다.- UriPrefixMatcher 인스턴스 생성 시
/oauth2/authorization/를 전달.
- UriPrefixMatcher 인스턴스 생성 시
- Matcher를 이용하여 registrationId를 파싱 및 리턴.
여기까지 설계하고 실제 스프링 시큐리티 구현을 봤는데요, AntPathRequestMatcher에서 내부적으로 RequestVariablesExtractor::extractUriTemplateVariables를 구현하여 registrationId를 추출하는 것을 확인했습니다 :)
| import nextstep.security.oauth2.client.endpoint.OAuth2AccessTokenResponseClient; | ||
| import nextstep.security.oauth2.client.endpoint.OAuth2AuthorizationCodeGrantRequest; | ||
|
|
||
| public class OAuth2AuthorizationCodeAuthenticationProvider implements AuthenticationProvider { |
There was a problem hiding this comment.
토큰 생성 및 처리 로직 모두 잘 구현해주셨습니다 👍
| doFilterInternal((HttpServletRequest) request, (HttpServletResponse) response, chain); | ||
| } | ||
|
|
||
| private void doFilterInternal( |
There was a problem hiding this comment.
답변에도 남겨두었듯 state를 프로세스로 녹여봐도 좋을 것 같아요.
이 역시 코드 구현에 오랜 시간이 걸릴 것 같으면 코멘트로라도 계획을 공유해주세요 :)
There was a problem hiding this comment.
다음과 같이 구현해볼 수 있을 것 같습니다..!
- (클라이언트) OAuth2 로그인 요청
- (앱 서버) 리다이렉트 필터에서 state 생성하고, 세션에 저장 후 리다이렉트
- (클라이언트) OAuth2 인증 페이지에서 인증 허용 후 앱 서버로 다시 리다이렉트
- (앱 서버) 인증 필터에서 URI에 포함된 state 값이 세션에 저장한 state값과 일치하는지 비교
4-1. 일치하는 경우, 세션의 state값 삭제 (state는 탈취 시 문제될 수 있으므로 일회용으로 관리하기 위함)
4-2. 일치하지 않는 경우, 인증 예외 발생
이 부분은 스프링 시큐리티 실제 구현을 확인해보진 않았는데 제가 생각한 플로우랑 비슷할 것 같은 느낌입니다..!
미션 3을 수행할 때는 CSRF 공격에 대한 이해도가 낮아 state의 필요성을 거의 느끼질 못하였는데, 미션 4에서 CsrfFilter를 구현하며 state의 필요성을 조금이나마 느끼게 되었습니다...! (여기까지 내다보시고 미션을 설계 하신 것 같아 감탄했네요..😁)
진영님 안녕하세요, 3주차 미션 2단계 리뷰 요청드립니다.
이번 미션에서 중점적으로 신경을 쓴 부분은 다음과 같습니다.
OAuth2LoginAuthenticationProvider,OAuth2AuthorizationCodeAuthenticationProvider차이를 이해하고 객체간 책임 구분하기특히 지난 1단계 미션에서 OAuth2는 프로토콜이고, 플랫폼별로 구현체를 따로 둘 필요는 없다는 중요한 개념을 짚어주시고,
OAuth2ClientProperties에서 Map을 활용해 환경변수를 추상화된 형태로 주입받는 방식을 추천해주신 덕분에 '이런 구조라면 플랫폼이 추가될 때마다 유지보수 비용이 꽤 나오겠는데...' 라며 고심하던 부분이 말끔히 해결되는 경험을 할 수 있었습니다. 감사합니다 🙇♂️이번 2단계 미션을 본격적으로 진행하기 전 Spring Security 패키지 구조를 보며 패키지 구조를 다시 잡는 사전 리팩토링을 진행했으며(d3ef98d), 이에 따른 리뷰 요청 범위는 다음과 같습니다.
OAuth2 인증 필터 부분이 이해가 잘 되지 않아 Security 코드와 샘플 코드를 참고하며 시퀀스 다이어그램으로 정리하며 공부하느라 시간은 조금 오래 걸렸지만, 그래도 덕분에 OAuth2에 대해 어느 정도 개념이 잡혀가는 듯 해서 기쁘네요. 무엇보다 처음 시큐리티 코드를 마주하며 생긴 두려움이 점차 해소되는 것 같아 점점 자신감도 붙는 것 같습니다 ㅎㅎ
궁금한 점은 개별 코멘트로 남겨두겠습니다. 그럼 리뷰 잘 부탁드립니다..!