새로운 프로젝트를 시작하면서 스프링 시큐리티 5.0을 적용하고 있다. 어떤 새로운 기능이 있는지 확인하기 위해서 참고문서(What’s New in Spring Security 5.0)를 살펴봤다. 새로운 기능이 추가되었는데 대략 다음과 같다.
Spring Security 5 새로운점
새로운 기능
이 중에서 크게 관심을 끄는 항목은 '현대화된 비밀번호 인코딩' 항목이었다. 이전까지는 BcryptPasswordEncoder
를 기본으로 단방향 암호화인코더로 사용해왔다.
;
위의 내용을 구글번역기로 돌려보면
대충 정리하면, 스프링 시큐리티에서 제공하는 PasswordEncoder
는 사용자가 등록한 비밀번호를 단방향으로 변환하여 저장하는 용도로 사용된다. 그리고 시대적인 흐름에 따라서 점점 고도화된 암호화 알고리즘 구현체가 적용되어간다. 이런 과정에서 서비스에 저장된 비밀번호에 대한 암호화 알고리즘을 변경하는 일은 상당히 많은 노력을 요구하게 된다.
단방향의 변환된 암호를 풀어서 다시 암호화해야 하는데 그게 말처럼 쉬운 일은 아니다. |
그래서 스프링시큐리티에서 내놓은 해결책이 DelegatingPasswordEncoder
다.
사용방법은 간단하다.
}
PasswordEncoderFactories.createDelegatingPasswordEncoder() 로 생성한 PasswordEncoder는 BCryptPasswordEncoder 가 사용되며 앞에 {id} 로 PasswordEncoder 유형이 정의된다. |
|
생성되는 암호화코드의 종류는 대략 다음과 같다.
{bcrypt}$2a$10$dXJ3SW6G7P50lGmMkkmwe.20cQQubK3.HZWzG3YB1tlRy.fqvM/BG
{noop}password
{pbkdf2}5d923b44a6d129f3ddf3e3c8d29412723dcbde72445e8ef6bf3b508fbf17fa4ed4d6b99ca763d8dc
{scrypt}$e0801$8bWJaSu2IKSn9Z9kM+TPXfOc/9bdYSrN1oD9qfVThWEwdRTnO7re7Ei+fUZRJ68k9lTyuTeUp4of4g24hHnazw==$OAOec05+bXxvuu/1qZ6NUR+xQYvYv7BeL1QxwRpY5Pc=
{sha256}97cde38028ad898ebc02e690819fa220e88c62e0699403e94fff291cfffaf8410849f27605abcbc0
{id}
가 없는 비밀번호의 경우에는 다음과 같이 선언해서 확인작업이 가능하다.
public void 암호변환기 {;; // bcrypt;delegatingPasswordEncoder;;}
DelegatingPasswordEncoder
를 이용하면 암호화 알고리즘 변경에 대한 걱정은 크게 하지 않아도 되겠다. 사용 전략에 대해서는 코드를 살펴보고 각자가 판가름하기 바란다.
테스트 코드는 다음과 같다.
기존에 저장되어 있는 암호화된 비밀번호를 DelegatingPasswordEncoder
에서 사용할 수 있도록 이전하는 작업은 간단하다.
$2a$10$dXJ3SW6G7P50lGmMkkmwe.20cQQubK3.HZWzG3YB1tlRy.fqvM/BG
를
{bcrypt}$2a$10$dXJ3SW6G7P50lGmMkkmwe.20cQQubK3.HZWzG3YB1tlRy.fqvM/BG
처럼 앞에 {bcrypt}
만 넣어주면 된다.
그 다음 단계에 대해서는 각자 고민해보자.
부연설명
PasswordEncoder
자체가 단방향 암호화를 목적으로 생성되었다. 보안상의 원인으로 DB에 저장된 비밀번호가 유출되지 않는다면 변환된 비밀번호 앞에 {id}
가 붙는다고 해서 크게 문제가 되지는 않는다고 생각한다… 유출되었을 때는 문제가 될 수도 있으려나?