feat: 서버 주소로 직접 접근하는 요청 막기 기능

[kangrae-jo]

💥이슈 설명

• WAPs에 Swagger나 Actuator등 개발에 편의를 위해 사용하고 있는 추가 기능들이 많이 있습니다.

• 그런데 우리 서버 주소인 xxx.xxx을 일반 유저가 알고, 요청을 보내게되면 아~주 위험한 상황이 벌어집니다.

• 그래서 저는 Spring Security에서 권한검사를 하는게 어떨까 싶습니다.

  • /swagger, /actuator 등 .permitAll() 해놓은 접근들에 .hasRole("ADIMIN")을 적용하는 겁니다.
  • 그렇게 되면 서버 주소를 안다고 해서 막무가내로 요청을 보낼 수 없을 것입니다.

• 그럼 우리도 편하게 못 보내는 것이 아니냐? 하실 수 있는데 정답입니다.

  • 그래서 저는 프론트측에서 로그인할 수 있는 기능이 있으니, 프론트에서 서버 infra로 url을 쏘는 버튼을 만들면 어떻까 싶습니다.
  • 구현을 해보지 않아서 모르겠지만 /actuator는 응답이 json이라 프론트에서 Table형식으로 커스텀해 줄 수도 있어보입니다.

• 이러면,,,, 장점이!

  • 많은 infra url을 외우고 있지 않아도 된다..?
  • 접근 권한을 코드레벨에서 통제하는 나이스한 구조이다?

• 아니면 infra 접속용 프론트 서버를 만들어도 되겠네요

📚할 일 목록

• 할 일 1
• 할 일 2

👀참고 사항

⌛기한

[g0rnn]

Spring Acuator를 사용하면 /actuator 엔드포인트를 통해 다양한 정보를 얻을 수 있군요. 힙 덤프, 서버에서 사용중인 환경변수 등 외부에 노출되면 안되는 정보가 노출될 수 있네요.

그래서 지금 사용 중인 Security의 기능을 활용해 해당 엔드포인트를 막아 안전하게 사용하자. 인거죠? 검색해보니 배달의 민족에서도 이렇게 사용하고 있네요.

그런데 /actuator를 어떻게 사용하는지를 몰라서 이걸 권한으로 막아도 될지 확언드리기가 어렵네요.
지금 actuator로 어떤 작업을 하고 계신건가요..? 어떤 기능을 완성할건지 아직 잘 모르겠습니다.

전 예전에 프로메테우스를 통해서 메트릭을 수집하고 그라파나를 통해 모니터링 대시보드를 구축한 적이 있었는데, 이번 프로젝트에서도 대시보드를 구축한다고 하면 프로메테우스가 카카오 로그인이 필요하게 되는 걸까요? 아니면 토큰을 발급받는 다른 수단도 개발하실 건가요?

[kangrae-jo]

"actuator로 어떤 기능을 완성 한다." 는 아닙니다.
처음에는 actuator에서 자체적으로 메트릭을 수집하고 시각화하는 것이 있는줄 알았는데 그건 아니더라구요.
근데 /actuator/prometheus 가 있습니다. 이걸 활용해볼까해요.

그래서 지금 사용 중인 Security의 기능을 활용해 해당 엔드포인트를 막아 안전하게 사용하자. 인거죠? 검색해보니 배달의 민족에서도 이렇게 사용하고 있네요.

그새 찾아보셨군요 맞습니다.

그런데 /actuator를 어떻게 사용하는지를 몰라서 이걸 권한으로 막아도 될지 확언드리기가 어렵네요.

actuator는 각 엔드포인트로 서버 요청을 보내면 그에 맞는 응답을 json 형식으로 줍니다.
그래서 이 응답을(metrics를 제외하고..) 우리 프론트에서 시각화할 수 있지 않을까 생각합니다.

그렇다면 그냥 우리 서버에 api를 추가하여 응답을 return해주는 것과 다름이 없습니다.
따라서 waps서버에서 제공하고있는 api 처럼 권한으로 막아도 된다고 생각합니다.

전 예전에 프로메테우스를 통해서 메트릭을 수집하고 그라파나를 통해 모니터링 대시보드를 구축한 적이 있었는데, 이번 프로젝트에서도 대시보드를 구축한다고 하면 프로메테우스가 카카오 로그인이 필요하게 되는 걸까요? 아니면 토큰을 발급받는 다른 수단도 개발하실 건가요?

논의가 필요한 부분이긴 합니다만 제 생각은 이렇습니다.

서버 상태 체크 등의 운영 api를 다루는 프론트 서버를 추가합니다.
당연히도 카카오 로그인이 필요해는거죠. 아니면 새로 만들어진 프론트서버는 로그인 방식을 로컬로 해도 되겠네요.

[kangrae-jo]

정리하자면

1. actuator로 한방에 모니터가 될 줄 알았지만, 생각과는 달랐다.
2. 그러나 /actuator/prometheus, /actuator/metrics 를 제공하기 때문에 이걸 써봐도 좋을 것 같다.
3. /actuator/** 의 보안 문제는 스프링 시큐리티에서 api권한을 확인하여 해결하자.

입니다.

[g0rnn]

이해했습니다! 말씀하신 것처럼 /actuator에 요청을 보내면 json으로 응답을 주는 형태라면 "서버 API"와 다름없고 그렇기 때문에 api명세를 관리하는 swagger까지 함께 막아보자는 거군요.

좋습니다. 그리고 다른 이슈를 통해서 모니터링 대시보드를 구축하고자 하는 걸 알았네요! 사실 아까 카페인을 언급하셔서 이것과 카페인은 무슨 상관이지.? 라는 생각이 많이 맴돌았던것 같습니다.

저도 admin 인증 관련해선 어떻게 해결해야할지 좀 찾아보겠습니다.

[kangrae-jo]

아 그렇군요 ㅋㅋ

네 카페인 캐시 이전에 간단하게 서버 응답 성능을 보려고했는데, 간단하지 않네요.
그래서 캐시가 없을때 성능 먼저 측정하고 캐시 도입해보려고 합니다.

[lepitaaar]

리버스 프록시를 두어 서버 ip를 숨기는것도 방법이 될꺼같습니다. 따라서 내부아이피로만 접근을 허용하고 vpn (ex tailscale) 와 같은 서비스를 이용하면 훨씬 편리하게 접근가능하지않을까요?

[kangrae-jo]

리버스 프록시를 두어 서버 ip를 숨기는것도 방법이 될꺼같습니다. 따라서 내부아이피로만 접근을 허용하고 vpn (ex tailscale) 와 같은 서비스를 이용하면 훨씬 편리하게 접근가능하지않을까요?

이런 느낌일까요??
도메인 라우팅을 위해서 서버에서 이미 Nginx를 쓰고있어서 쉽게 적용이 가능할 것 같습니다.
vpn에 대해서는 조금 더 알아보고 적용해봐야겠군요.

솔루션 추천 감사합니다