[Spring Security] SecurityFilterChain 필터 목록 확인하기 (디버깅/로그)

이번에 하고 있는 디스코드잇 미션에서

Spring Security를 도입하게 되었습니다.

 

기본적인 SecurityFilterChain을 등록하고, 이때 등록되는 필터 목록을 디버깅해봐야 합니다.

구글링 결과 디버깅 외에도 로그로 확인할 수 있는 방법이 있어서 오늘은 2가지 방법으로 필터 목록을 확인하고자 합니다.

 

Spring Boot 3.4.0 / Spring Security 6.4.1 환경에서 개발하고 있습니다.

다음과 같이 build.gradle에 의존성을 추가합니다.

// spring security
implementation("org.springframework.boot:spring-boot-starter-security")
testImplementation("org.springframework.security:spring-security-test")

 

1. SecurityFilterChain 빈 디버깅

아래와 같은 기본적인 설정만 한 SecurityFilterChani을 등록합니다.

• csrf.disable(): CSRF 보호 비활성화
  • CSRF는 사이트 간 요청 위조 공격으로, CSRF 보호 설정을 하면 변경을 일으키는 요청에 대해 CSRF 토큰이 없으면 403 Forbidden으로 막지만, 지금은 공부 단계이므로 이 보호 설정도 disable합니다.
• anyRequest.permitAll(): 모든 요청에 대해 인증 없이 허용
• httpBasic(Customizer.withDefaults()): HTTP Basic 인증을 기본 설정으로 활성화
  • Authorization 헤더를 쓰는 HTTP Basic 인증 방식을 별도의 설정 없이 기본으로 적용합니다.

@Configuration
public class SecurityConfig {

    @Bean
    SecurityFilterChain chain(HttpSecurity httpSecurity) throws Exception {
        httpSecurity
            .csrf(csrf -> csrf.disable())
            .authorizeHttpRequests(auth ->
                auth.anyRequest().permitAll())
            .httpBasic(Customizer.withDefaults());
        return httpSecurity.build();
    }
}

 

여기서 return문에 중단점을 찍고 디버깅을 해봅니다.

 

 

return문이 필터 체인이 만들어지는 시점입니다.

Thread & Variables에서 필터 목록을 확인할 수 있습니다.

 

설정에 따라 조금씩 다를 수 있습니다.

 

1. DisableEncodeUrlFilter

2. WebAsyncMangerIntegrationFilter

3. SecurityContextHolderFilter

4. HeaderWriterFilter

5. LogoutFilter

6. BasicAuthenticationFilter

7. RequestCacheAwareFilter

8. SecurityContextHolderAwareRequestFilter

9. AnonymousAuthenticationFilter

10. ExceptionTranslationFilter

11. AuthorizationFilter

 

2. 로그로 확인하기

디버깅을 하지 않고

Configuration 클래스에 @EnableWebSecurity(debug=true) 애노테이션을 추가하여  로그를 확인할 수 있는 방법이 있습니다.

 

@Configuration
@EnableWebSecurity(debug = true)
public class SecurityConfig {

    @Bean
    SecurityFilterChain chain(HttpSecurity httpSecurity) throws Exception {
        httpSecurity
            .csrf(csrf -> csrf.disable())
            .authorizeHttpRequests(auth ->
                auth.anyRequest().permitAll())
            .httpBasic(Customizer.withDefaults());
        return httpSecurity.build();
    }
}

 

애플리케이션을 실행하면 다음과 같은 화면을 콘솔에서 볼 수 있습니다.

********************************************************************
**********        Security debugging is enabled.       *************
**********    This may include sensitive information.  *************
**********      Do not use in a production system!     *************
********************************************************************

 

localhost:8080으로 아무 요청이나 날려보면 다음과 같이 요청에 대해 로그가 찍힙니다.

1번 방법에서 봤던 필터와 똑같이 등록됐네요.

************************************************************

Request received for GET '/favicon.ico':

org.apache.catalina.connector.RequestFacade@36eabd64

servletPath:/favicon.ico
pathInfo:null
headers: 
host: localhost:8080
connection: keep-alive
sec-ch-ua-platform: "Windows"
user-agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/136.0.0.0 Safari/537.36
sec-ch-ua: "Chromium";v="136", "Google Chrome";v="136", "Not.A/Brand";v="99"
sec-ch-ua-mobile: ?0
accept: image/avif,image/webp,image/apng,image/svg+xml,image/*,*/*;q=0.8
sec-fetch-site: same-origin
sec-fetch-mode: no-cors
sec-fetch-dest: image
referer: http://localhost:8080/
accept-encoding: gzip, deflate, br, zstd
accept-language: ko-KR,ko;q=0.9,en-US;q=0.8,en;q=0.7,ja;q=0.6
cookie: Idea-f58542b4=3011ef8d-4436-40f2-981e-2efba38b0a5a; JSESSIONID=C4394633990297DCB56BD92AEB538AC8


Security filter chain: [
  DisableEncodeUrlFilter
  WebAsyncManagerIntegrationFilter
  SecurityContextHolderFilter
  HeaderWriterFilter
  LogoutFilter
  BasicAuthenticationFilter
  RequestCacheAwareFilter
  SecurityContextHolderAwareRequestFilter
  AnonymousAuthenticationFilter
  ExceptionTranslationFilter
  AuthorizationFilter
]


************************************************************

 

이처럼 커스텀 필터를 따로 등록하지 않아도 SecurityConfig 설정을 통해 위와 같이 필터 체인이 생성됩니다.