[Spring Security] Role Hierarchy: 권한 계층 구조 개념 정리 & 적용

들어가면서

 

기존의 디스코드잇 프로젝트에서는 관리자, 유저 구분 없이

로그인하면 누구나 모든 기능을 사용할 수 있었습니다.

 

이번 미션에서 role을 정의하고, role에 따라 행동을 제한하기로 했습니다.

이 포스팅에서는 권한 계층 구조에 대해 알아보고, 이를 코드에 적용해보고자 합니다.

---

개발 환경

Spring Boot 3.4.0

Spring Security 6.4.1

---

권한 계층 구조 Role Hierarchy

Spring Security의 권한 계층 구조(Role Hierarchy) 는 역할(Role) 간의 포함 관계를 정의하는 기능입니다.

회사에서 사장이 부장의 모든 권한을 가지고, 부장이 사원의 권한을 모두 가지는 것처럼,
더 높은 역할이 더 낮은 역할의 권한을 모두 포함하는 구조를 정의할 수 있습니다.

 

그런데 왜 Role Hierarchy인데 "역할 계층 구조"가 아니고 "권한 계층 구조"라고 부를까요?

Spring Security에서 사용되는 모든 권한은 GrantedAuthority 라는 공통 개념으로 표현됩니다.

역할과 권한은 아주 구분되는 것이 아니라, 역할은 권한의 묶음이기 때문에 결과적으로는 권한 간 계층 구조를 정의한 것이기 때문입니다.

권한은 개별 단위이며, 역할은 이런 권한들의 묶음이고, 역할 간 계층 구조는 높은 역할이 낮은 역할에 속한 권한들을 포함하는 구조이죠.

 

• 권한 Permission
  • 특정 작업이나 기능을 수행할 수 있는 세부적인 권한
  • ex) 게시글 작성(POST), 댓글 작성(POST_COMMENT), 댓글 삭제(DELETE_COMMENT) 등
• 역할 Role
  • 여러 권한을 묶어놓은 집합
  • ex) ROLE_ADMIN, ROLE_USER
    • ROLE_ADMIN은 공지사항 작성, 사용자 조회, 사용자 삭제 등의 권한으로 묶여있음
    • ROLE_USER는 게시글 작성, 댓글 작성, 댓글 조회 등의 권한으로 묶여있음

 

이번 프로젝트에서는

관리자/채널 매니저/일반 사용자 정도로 권한을 분리합니다.

 

위와 같은 계층 구조를 설정하기 위해 다음과 같은 RoleHierarchy 빈을 등록하였습니다.

이 RoleHierarchy 인터페이스가 Spring Security에서 지원하는 권한 계층 구조 설정 인터페이스입니다.

@Bean
public RoleHierarchy roleHierarchy() {
    return RoleHierarchyImpl.fromHierarchy("""
        ROLE_ADMIN > ROLE_CHANNEL_MANAGER
        ROLE_CHANNEL_MANAGER > ROLE_USER
        """);
}

 

위 설정만 하면 된다고 하는데 저는 계층 구조가 잘 적용되지 않아 MethodSecurityExpressionHanlder 빈도 등록하였습니다.

 

@Configuration
@EnableWebSecurity
// 🌟 MethodSecurityExpressionHandler 사용 시 애노테이션 추가
@EnableMethodSecurity
public class SecurityConfig {


    @Bean
    SecurityFilterChain chain(HttpSecurity httpSecurity,
        CustomAuthenticationFilter customAuthenticationFilter) throws Exception {
        httpSecurity
            .authorizeHttpRequests(auth -> auth
                (생략)
        return httpSecurity.build();
    }

   (생략)
   
   // 🌟 계층 구조 적용
    @Bean
    public RoleHierarchy roleHierarchy() {
        return RoleHierarchyImpl.fromHierarchy(
            "ROLE_ADMIN > ROLE_CHANNEL_MANAGER\n" +
                "ROLE_CHANNEL_MANAGER > ROLE_USER"
        );
    }

    @Bean
    public MethodSecurityExpressionHandler methodSecurityExpressionHandler(
        RoleHierarchy roleHierarchy) {
        DefaultMethodSecurityExpressionHandler handler = new DefaultMethodSecurityExpressionHandler();
        handler.setRoleHierarchy(roleHierarchy);
        return handler;
    }

}

 

기존에 사용자에게 어떤 Role도 나누지 않았기 때문에

사용자별로 권한을 가지는 코드도 구현하겠습니다.

public enum Role {
    ROLE_ADMIN,
    ROLE_CHANNEL_MANAGER,
    ROLE_USER
}

 

이후 User 엔티티에 Role 필드를 추가하였습니다.

 

 

이제 기능별로 권한을 설정할건데 2가지 방법이 있습니다.

• URL 보안
• 메서드 보안

 

URL 보안 방법은 SecurityFilterChain에서 설정하는 방법입니다.

authorizeHttpRequest의 requestMatchers 설정에서 hasRole / hasAuthority로 권한을 명시합니다.

 

hasrRole("USER")과 hasAuthority("ROLE_USER")는 같은 의미인데,

hasRole로 하면 자동으로 접두사 ROLE_을 붙여 ROLE_USER 권한을 확인합니다.

hasAuthority는 ROLE_ 접두사를 붙이지 않고 문자열 그대로 찾기 때문에 ROLE_USER라는 권한이 있어야 합니다.

 

@Bean
SecurityFilterChain chain(HttpSecurity httpSecurity,
    CustomAuthenticationFilter customAuthenticationFilter) throws Exception {
    httpSecurity
        .authorizeHttpRequests(auth -> auth
            // 모두에게 허용
            .requestMatchers("/api/auth/csrf-token").permitAll()
            .requestMatchers(HttpMethod.POST, "/api/users").permitAll()
            .requestMatchers(HttpMethod.POST, "/api/auth/login").permitAll()
            // 그 외 API는 최소 ROLE_USER 권한 필요
            .requestMatchers("/api/**").hasRole("USER")
            // admin API는 ROLE_ADMIN 권한 필요
            .requestMatchers("/admin/**").hasAuthority("ROLE_ADMIN")
            // 그 외 인증 필요
            .anyRequest().authenticated())
        (생략)
    return httpSecurity.build();
}

 

메서드 보안은 @PreAuthorize 애노테이션을 활용하는 방법입니다.

API 접근 제한 자체를 제어하려는 경우 컨트롤러 메서드 위에 붙이면 편리합니다.

// 여러 권한 중 하나 이상 가진 사용자만 접근 가능
@PreAuthorize("hasAnyRole('ADMIN', 'MANAGER')")
public List<Employee> findAllEmployees() {
    return employeeRepository.findAll();
}

 

---

 

참고자료

https://juintination.tistory.com/entry/Spring-Security-RoleHierarchy-%EA%B3%84%EC%B8%B5%EA%B6%8C%ED%95%9C-%EC%84%A4%EC%A0%95%ED%95%98%EA%B8%B0

https://jinmlee210.tistory.com/82

https://velog.io/@goat_hoon/Spring-Security-%EC%9C%A0%EC%A0%80%EC%9D%98-ROLE%EB%B3%84%EB%A1%9C-Authority-%EA%B6%8C%ED%95%9C-%EB%B6%80%EC%97%AC%ED%95%98%EA%B8%B0