Spring Security
Spring Security는 Spring 기반의 애플리케이션에서 보안을 관리하기 위한 강력하고 맞춤화 가능한 인증 및 접근 제어 프레임워크입니다. 이 프레임워크는 선언적인 보안 설정을 지원하며, 사용자의 인증(authentication)과 인가(authorization)처리를 위한 광범위한 방법을 제공합니다.
OAuth와 Spring Security를 통한 역할 기반 접근 제어
OAuth를 사용하여 인증을 처리하고, Spring Security를 통해 세밀한 역할 기반의 접근제어를 설정할 수 있습니다. 예를 들어, 다양한 사용자 역할(ADMIN, USER등)에 따라 특정 API 앤드포인트에 대한 접근을 제한할 수 있습니다.
필요한 테스트 유형
- 역할 기반 접근 제어 테스트(Role-Based Access Control Testing)
목적: 각 사용자 역할에 대해 올바른 접근 권한이 설정되어 있는지 확인합니다. 예를 들어, ADMIN은 모든 데이터를 조회할 수 있지만, USER는 제한적인 데이터만 조회할 수 있도록 설정하는 것입니다.
방법: 각 역할의 사용자로 로그인하여 접근 제어 규칙이 정상적으로 적용 되는지 테스트 합니다. 예를 들어, ADMIN 역할의 계정으로 로그인하여 관리자 페이지에 접근이 가능한지, USER 역할로는 접근이 거부되는지 확인합니다. - 인증 및 세션 관리 테스트
목적: 인증 메커니즘이 안전하게 구현되었고, 세션 관리가 적절히 이루어지는지 확인합니다. 이는 애플리케이션의 보안을 유지하기 위해 필수적입니다.
방법: 로그인, 로그아웃, 세션만료, 비밀번호 변경 등의 인증 관련 기능을 검토하고, 세션 하이재킹 또는 고정 세션 공격 등의 취약점이 없는지 확인합니다. - 통합테스트
목적: OAuth와 SpringSecurity 설정이 올바르게 통합되어 작동하는지 확인합니다. 인증 서버와 리소스 서버 간의 통신이 원할하고, 올바른 토큰이 교환되는지 검증합니다.
방법: 실제 OAuth 인증 플로우를 따라가며 애플리케이션의 인증 및 인가 흐름을 검증합니다.
'IT > QA' 카테고리의 다른 글
| Selenium, XPath를 통해 UI 요소 정확히 찾기 (0) | 2025.01.13 |
|---|---|
| Selenium의 구성요소 (1) | 2024.12.23 |
| Jenkins, Docker-compose로 컨테이너화 하기 (0) | 2024.12.03 |
| 통합테스트, SpringBootTest (0) | 2024.12.02 |
| Spring의 단위 테스트, JUnit5과 Mockito를 사용한 계층별 테스트 (0) | 2024.11.30 |