스프링 시큐리티는 이전에 한 번 다룬 적 있다. 짧게 흐름과 정의 사용법에 대해서 알아보았고 해당 포스팅으로 간다면 필자가 진행하던 프로젝트를 시큐리티를 적용하는 것을 볼 수 있다.
이번 포스팅에서 간단히 알아보고 진행하지만 중간중간 필요하거나 궁금한 기능에 대해서는 바로바로 알아보도록 하겠다.
Spring Security
스프링에서 제공하는 보안 구성으로 애플리케이션에 인증과 인가 기능을 제공한다.
동작 원리는 로그인 시도에 인증 필터가 작동하게 되고 사용자의 id와 비밀번호를 가져온다.
인증 필터는 id와 비밀번호를 Authentication 객체에 담아 AuthenticationManager에게 전달한다.
AuthenticationManager는 UserDetailsService를 호출해 사용자의 정보를 불러온다.
이때 UserDetailsService는 DB에 접근해 정보를 가져오고 이 정보를 UserDetails 객체에 담아 반환한다.
비밀번호는 PasswordEncoder를 통해 암호화된다.
간략하게 알아보았으며 설정 후 진행해 보자.
gradle에 의존성을 추가해야 한다.
implementation 'org.springframework.boot:spring-boot-starter-security'
testImplementation 'org.springframework.security:spring-security-test'
현재 사용할 필자의 security의 버전은 6.3.1이다.
우선 security를 설정할 config 클래스를 작성해야 한다.
package com.example.oauth2.config;
import com.example.oauth2.domain.MemberRole;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configurers.AbstractHttpConfigurer;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.web.SecurityFilterChain;
@Configuration
@EnableWebSecurity
public class SecurityConfig {
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
http
.authorizeHttpRequests((auth) -> auth
.requestMatchers("/security-login", "/security-login/login", "/security-login/join","/error/**").permitAll()
.requestMatchers("/security-login/admin").hasRole(MemberRole.ADMIN.name())
.requestMatchers("/security-login/info").hasAnyRole(MemberRole.ADMIN.name(),MemberRole.USER.name())
.anyRequest()
.authenticated());
http
.logout((auth) -> auth
.logoutUrl("/security-login/logout")
);
http
.formLogin((auth) -> auth.loginPage("/security-login/login")
.loginProcessingUrl("/security-login/loginProc")
.failureUrl("/security-login/login")
.defaultSuccessUrl("/security-login",true)
.usernameParameter("loginId")
.passwordParameter("password")
.permitAll()
);
// csrf : 사이트 위변조 방지 설정 (스프링 시큐리티에는 자동으로 설정 되어 있음)
// csrf기능 켜져있으면 post 요청을 보낼때 csrf 토큰도 보내줘야 로그인 진행된다.
// 개발단계에서는 csrf 꺼두고 사용하고 서비스시 활성화 하는 것이 좋다.
http
.csrf(AbstractHttpConfigurer::disable);
return http.build();
}
@Bean
public BCryptPasswordEncoder bCryptPasswordEncoder() {
return new BCryptPasswordEncoder();
}
}
위는 보안을 위한 config 클래스를 작성한 부분이다. 각 설정들을 둘러보자.
우선 검색을 하게 되면 이전 레거시에서는 어댑터를 상속받아 사용하거나 체인 형식을 사용하는 것을 확인할 수 있다.
최근 구성에서도 체인을 사용하지만 람다식 위주로 체인을 사용한다.
가장 최근 버전을 사용한 설정이다.
spring-security-samples/servlet/spring-boot/java/hello-security-explicit at main · spring-projects/spring-security-samples
Contribute to spring-projects/spring-security-samples development by creating an account on GitHub.
github.com
위 깃허브에서 스프링이 제공하는 Security 설정을 확인할 수 있다.
이제 설정 속성에 대해 알아보자.
http
.authorizeHttpRequests(authorizationManagerRequestMatcherRegistry -> )긴 속성 명을 람다식으로 단축해 auth로 사용해서 특정 요청과 일치하는 url에 대한 액세스를 설정한다.
.requestMatchers를 통해 경로를 추가할 수 있다. 최근
new AntPathRequestMatcher("/css/**"),
new AntPathRequestMatcher("/images/**"),
new AntPathRequestMatcher("/js/**"),
이런 식으로 많이 사용한다. 해당 클래스를 사용할 시 세밀한 설정이 가능하다. http 메서드를 지정하기도 하고 대소문자 구분 여부 등 세밀한 조작이 가능하다.
.permitAll은 앞에 설정한 패턴에 대해 모든 인증과 인가 없이 접근할 수 있게 하는 것이다.
.hasRole은 해당하는 권한을 가진 객체만 접근하게 하는 것이다.
.anyRequest는 설정한 url 이외 요청에 대해 설정하는 것이다.
.authenticated는 별도의 인가는 필요하지 않지만 인증이 성공된 상태여야 한다.
logout은 로그아웃시 이동할 url을 설정하는 것이다.
invalidateHttpSession등 여러 속성이 있고 이 속성은 로그아웃시 세션을 전체 삭제할지에 대한 여부에 대한 것이다.
formLogin은 폼 기반 로그인 설정을 하는 부분이다. 로그인을 진행할 url을 매핑한다.
loginProcessingUrl은 로그인이 진행되고 여기에 설정한 URL은 실제로 컨트롤러에 매핑되지 않고, Spring Security가 내부적으로 처리한다.
defaultSuccessUrl에 매핑한 url은 로그인이 정상 처리될 경우 이동할 url이다.
username, passwordParameter는 로그인 폼에서 사용자의 아이디와 비밀번호를 처리할 파라미터 이름을 각각 loginId와 password로 설정한다.
csrf에 대한 부분은 주석으로 설명해 두었다.
BCryptPasswordEncoder 메서드는 패스워드를 인코더 하는 것을 메서드로 빈을 등록하고 내부에 사용할 암호화 클래스를 지정할 수 있다.
이렇게 설정에 대한 부분을 알아보았다.
HTTP에 관련한 설정이나 보안에 관련된 설정이 추가로 더 추가할 수 있다.
다음으로 사용자가 로그인에 필요한 인증 정보를 담아야 한다. 이는 UserDetails 인터페이스를 사용하기 때문에 인증을 진행할 객체에 UserDetails를 구현해 보자.
package com.example.oauth2.userdetails;
import com.example.oauth2.domain.Member;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;
import java.util.ArrayList;
import java.util.Collection;
public class CustomUserDetails implements UserDetails {
private final Member member;
public CustomUserDetails(Member member) {
this.member = member;
}
@Override
public Collection<? extends GrantedAuthority> getAuthorities() {
Collection<GrantedAuthority> collection = new ArrayList<>();
collection.add(new GrantedAuthority() {
@Override
public String getAuthority() {
return "ROLE_" + member.getRole().name();
}
});
return collection;
}
@Override
public String getPassword() {
return member.getPassword();
}
@Override
public String getUsername() {
return member.getLoginId();
}
@Override
public boolean isAccountNonExpired() {
return true;
}
@Override
public boolean isAccountNonLocked() {
return true;
}
@Override
public boolean isCredentialsNonExpired() {
return true;
}
@Override
public boolean isEnabled() {
return true;
}
}
UserDetails를 커스텀해서 사용할 것이기 때문에 구현체를 만들었다.
직접 로그인 컨트롤러를 구현하지 않아도 스프링 시큐리티가 요청을 가로채서 자동으로 로그인을 진행한다.
getAuthorities 메서드로 사용자가 가지고 있는 권한의 목록을 반환한다.
getUsername은 사용자를 식별할 수 있는 사용자 이름을 반환한다. 이때 사용되는 사용자 이름은 반드시 고유해야 한다.
getPassword는 사용자의 비밀번호를 반환한다. 이때 저장되어 있는 비밀번호는 암호화해서 저장해야 한다.
isAccountNonExprired는 계정이 만료되었는지 확인하는 메서드이다.
isAccountNonLocked는 계정이 잠금 되었는지 확인하는 메서드이다.
isCredentialsNonExpired는 비밀번호가 만료되었는지 확인하는 메서드이다.
isEnabled는 계정이 사용 가능한지 확인하는 메서드이다.
isAccountNonExprired, isAccountNonLocked, isCredentialsNonExpired, isEnabled는 위 예제에서 모두 true로 구성했지만 별도의 기능을 추가해서 값을 반환해 사용할 수 있다.
다음으로는 스프링 시큐리티가 로그인을 진행할 때 사용자 정보를 가져오는 코드를 확인해 보자.
package com.example.oauth2.service;
import com.example.oauth2.domain.Member;
import com.example.oauth2.repository.MemberRepository;
import com.example.oauth2.userdetails.CustomUserDetails;
import lombok.RequiredArgsConstructor;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;
@Service
@RequiredArgsConstructor
public class CustomUserDetailsService implements UserDetailsService {
private final MemberRepository memberRepository;
@Override
public UserDetails loadUserByUsername(String loginId) throws UsernameNotFoundException {
Member member = memberRepository.findByLoginId(loginId);
if (member != null) {
return new CustomUserDetails(member);
}
return null;
}
}
이 클래스로 상속받은 메서드에 인증 정보를 담은 CustomUserDetails 객체를 반환하게 된다.
전체적인 시큐리티 동작 방식에 대해서는 필자의 spring security 포스팅을 확인하면 된다.
다음으로 로그인을 진행하는 방식을 시큐리티를 사용하기 때문에 Service 클래스에 패스워드를 암호화해서 사용자 정보를 저장하는 로직을 추가해야 한다.
MemberService.class에 아래 로직을 추가하기로 하자.
public void securityJoin(JoinRequest joinRequest) {
if (memberRepository.existsByLoginId(joinRequest.getLoginId())) {
return;
}
joinRequest.setPassword(bCryptPasswordEncoder.encode(joinRequest.getPassword()));
memberRepository.save(joinRequest.toEntity());
}
다음으로 컨트롤러를 새로 구성해 보자.
package com.example.oauth2.controller;
import com.example.oauth2.domain.Member;
import com.example.oauth2.dto.JoinRequest;
import com.example.oauth2.dto.LoginRequest;
import com.example.oauth2.service.MemberService;
import jakarta.validation.Valid;
import lombok.RequiredArgsConstructor;
import lombok.extern.slf4j.Slf4j;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.context.SecurityContextHolder;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.validation.BindingResult;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.ModelAttribute;
import org.springframework.web.bind.annotation.PostMapping;
import org.springframework.web.bind.annotation.RequestMapping;
import java.util.Collection;
import java.util.Iterator;
@Controller
@RequiredArgsConstructor
@Slf4j
@RequestMapping("/security-login")
public class SecurityLoginController {
private final MemberService memberService;
@GetMapping(value = {"", "/"})
public String home(Model model) {
model.addAttribute("loginType", "security-login");
model.addAttribute("pageName", "스프링 시큐리티 로그인");
String loginId = SecurityContextHolder.getContext().getAuthentication().getName();
Authentication authentication = SecurityContextHolder.getContext().getAuthentication();
Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities();
Iterator<? extends GrantedAuthority> iter = authorities.iterator();
GrantedAuthority auth = iter.next();
String role = auth.getAuthority();
Member loginMember = memberService.getLoginMemberByLoginId(loginId);
if (loginMember != null) {
model.addAttribute("name", loginMember.getName());
}
return "home";
}
@GetMapping("/join")
public String joinPage(Model model) {
model.addAttribute("loginType", "security-login");
model.addAttribute("pageName", "스프링 시큐리티 로그인");
model.addAttribute("joinRequest", new JoinRequest());
return "join";
}
@PostMapping("/join")
public String join(@Valid @ModelAttribute JoinRequest joinRequest,
BindingResult bindingResult, Model model) {
model.addAttribute("loginType", "security-login");
model.addAttribute("pageName", "스프링 시큐리티 로그인");
memberService.securityJoin(joinRequest);
return "redirect:/security-login";
}
@GetMapping("/login")
public String loginPage(Model model) {
model.addAttribute("loginType", "security-login");
model.addAttribute("pageName", "스프링 시큐리티 로그인");
model.addAttribute("loginRequest", new LoginRequest());
return "login";
}
@GetMapping("/info")
public String memberInfo(Authentication auth, Model model) {
model.addAttribute("loginType", "security-login");
model.addAttribute("pageName", "스프링 시큐리티 로그인");
Member loginMember = memberService.getLoginMemberByLoginId(auth.getName());
model.addAttribute("member", loginMember);
return "info";
}
@GetMapping("/admin")
public String adminPage(Model model) {
model.addAttribute("loginType", "security-login");
model.addAttribute("pageName", "스프링 시큐리티 로그인");
return "admin";
}
}
Service에 추가한 securityJoin은 회원가입을 진행하는 join 엔드포인트에 사용되었다.
확인할 특이점은 로그인을 진행하는 @PostMapping("/login")이 없는데 이 부분은 securityconfig에서 설정한 loginProcessingUrl이 로그인을 진행해 주고 로그인 성공 시 리다이렉트 할 url도 설정에 선언했기 때문에 따로 컨트롤러를 두지 않았다.
loginProcessingUrl를 확인하면 엔드포인트가/security-login/loginProc으로 되어 있는데 이 부분은 로그인 html에서 from 부분에
<form th:method="post" th:action="|@{/{loginType}/loginProc (loginType=${loginType})}|" th:object="${loginRequest}">
위와 같이 수정했다.
다음으로 실제 동작을 확인하기 이전에 테스트 코드를 짜서 확인해 보자.
package com.example.oauth2.controller;
import org.junit.jupiter.api.BeforeEach;
import org.junit.jupiter.api.DisplayName;
import org.junit.jupiter.api.Test;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.test.autoconfigure.web.servlet.AutoConfigureMockMvc;
import org.springframework.boot.test.context.SpringBootTest;
import org.springframework.security.test.context.support.WithMockUser;
import org.springframework.test.web.servlet.MockMvc;
import org.springframework.test.web.servlet.setup.MockMvcBuilders;
import org.springframework.transaction.annotation.Transactional;
import org.springframework.web.context.WebApplicationContext;
import static org.springframework.security.test.web.servlet.setup.SecurityMockMvcConfigurers.springSecurity;
import static org.springframework.test.web.servlet.request.MockMvcRequestBuilders.get;
import static org.springframework.test.web.servlet.result.MockMvcResultMatchers.status;
import static org.springframework.test.web.servlet.result.MockMvcResultMatchers.view;
@SpringBootTest
@AutoConfigureMockMvc
@Transactional
class SecurityLoginControllerTest {
@Autowired
private MockMvc mockMvc;
@Autowired
private WebApplicationContext context;
@BeforeEach
public void setup() {
mockMvc = MockMvcBuilders
.webAppContextSetup(context)
.apply(springSecurity())
.build();
}
@Test
@DisplayName(value = "로그인 확인")
public void loginPageAccess() throws Exception {
mockMvc.perform(get("/security-login/login"))
.andExpect(status().isOk())
.andExpect(view().name("login"));
}
@Test
@DisplayName(value = "유저 권한 확인")
@WithMockUser(username = "user", roles = {"USER"})
public void homePageAccessWithUserRole() throws Exception {
mockMvc.perform(get("/security-login"))
.andExpect(status().isOk())
.andExpect(view().name("home"));
}
@Test
@DisplayName(value = "어드민 권한 확인")
@WithMockUser(username = "admin", roles = {"ADMIN"})
public void adminPageAccessWithAdminRole() throws Exception {
mockMvc.perform(get("/security-login/admin"))
.andExpect(status().isOk())
.andExpect(view().name("admin"));
}
@Test
@DisplayName(value = "인증 없이 관리자 페이지 접근 권한 확인")
public void accessDeniedToAdminPageWithoutAuth() throws Exception {
mockMvc.perform(get("/security-login/admin"))
.andExpect(status().is3xxRedirection());
}
}
테스트 코드와 테스트가 잘 작동하는 것을 확인할 수 있다.
이번 테스트는 저번 테스트와 다르다.
@SpringBootTest - spring boot 콘텍스트를 로드해서 통합 테스트를 하기 위해서 사용
@AutoConfigureMockMvc - MockMvc를 자동으로 구성하고 이를 통해 웹 계층 테스트를 쉽게 수행할 수 있다.
@Transactional - 각 메서드는 트랜잭션 안에서 실행되고 종료 시 트랜잭션은 롤백되어 데이터베이스 상태는 초기화된다.
@WithMockUser - Spring Security에서 제공하는 어노테이션으로, 특정 역할을 가진 모의 사용자를 설정한다.
테스트 코드에서 사용한 view는 반환되는 view의 값이 잘 반환되는지 확인하는 것이다.
이외 테스트 코드는 이전에도 사용했고 추후 따로 다룰 것이기 때문에 넘어가도록 하겠다.
다음은 실제 동작을 잘하는지 확인해야 한다.
서버를 켜고 작동하면 위와 같이 로그인할 페이지를 확인할 수 있고 회원 가입을 진행 후 로그인까지 해보도록 하자.
initiator에 security-login/loginProc을 확인할 수 있다.
info에는 USER나 ADMIN 권한이 있어야 접속이 가능하다.
admin페이지 접속 시 403 에러로 접근 권한이 제한되어서 접속하지 못하는 것을 확인할 수 있다.
간단히 사용하기 위해 h2 DB를 사용했고 데이터베이스에서 사용자가 잘 저장되고 패스워드도 암호화된 것을 확인할 수 있다.
다음으로 디버깅을 해서 동작을 확인해 볼 것이다. 시큐리티 흐름에서 가장 앞단에 Authenticationfilter에서 넘어온 아이디와 패스워드의 유효성을 검사하고 다음으로 실제 구현체인 UsernamePasswordAuthenticationToken을 만들어 넘긴다. 그 후
맨 뒷단에 AuthenticationSuccessHandler가 실행된다. 토큰 생성을 해 넘기는 것과 핸들러가 실행되는 것을 확인하고자 이 둘에 브레이크 포인트를 걸어서 확인해 보자.
위는 사용자의 어떤 값을 가지고 토큰을 생성하는지 확인할 수 있다.
alwaysUseDefaultTargetUrl이 true로 설정되어 있어, 항상 기본 URL(/security-login)로 리다이렉트 한다.
HttpSessionRequestCache를 사용하여 이전 요청을 세션에 저장하고 인증 후 해당 요청으로 리다이렉트 할 수 있다.
authentication에서 UsernamePasswordAuthenticationToken을 통해 사용자 정보, 권한, 세부 정보(IP 주소, 세션 ID 등)를 확인할 수 있다.
authResult에서 토큰 값에 들어있는 사용자 정보도 확인할 수 있고 이 이미지 위에서 확인한 것처럼 핸들러를 통해 어느 경로로 매핑이 되는지도 확인할 수 있다. 시큐리티 흐름에서 더 많은 흐름이 중간에 있지만 흐름의 시작과 끝을 디버깅으로 확인을 해보았다.
트러블 슈팅이 있다.
오래 걸리긴 했지만 해결한 부분에 대해서 확인해 보겠다.
o.s.s.a.dao.DaoAuthenticationProvider : Authenticated user
.s.ChangeSessionIdAuthenticationStrategy : Changed session id from F389EB454B3C8FE381098172F18E9A5D
w.c.HttpSessionSecurityContextRepository : Stored SecurityContextImpl [Authentication=UsernamePasswordAuthenticationToken [Principal=com.example.oauth2.userdetails.CustomUserDetails@5c068d40, Credentials=[PROTECTED], Authenticated=true, Details=WebAuthenticationDetails [RemoteIpAddress=0:0:0:0:0:0:0:1, SessionId=F389EB454B3C8FE381098172F18E9A5D], Granted Authorities=[com.example.oauth2.userdetails.CustomUserDetails$1@7417d1db]]] to HttpSession [org.apache.catalina.session.StandardSessionFacade@298c128]
w.a.UsernamePasswordAuthenticationFilter : Set SecurityContextHolder to UsernamePasswordAuthenticationToken [Principal=com.example.oauth2.userdetails.CustomUserDetails@5c068d40, Credentials=[PROTECTED], Authenticated=true, Details=WebAuthenticationDetails [RemoteIpAddress=0:0:0:0:0:0:0:1, SessionId=F389EB454B3C8FE381098172F18E9A5D], Granted Authorities=[com.example.oauth2.userdetails.CustomUserDetails$1@7417d1db]]
o.s.s.web.DefaultRedirectStrategy : Redirecting to http://localhost:8080/?continue
o.s.security.web.FilterChainProxy : Securing GET /?continue
o.s.s.w.s.HttpSessionRequestCache : Loaded matching saved request http://localhost:8080/?continue
트러블이 있을 때 로그를 가져온 것이다.
에러가 생긴 부분은 로그인을 진행 후 SecurityConfig에 설정한 .defaultSuccessUrl에 설정한 경로로 이동해야 하는데 설정한 적 없는 뜬금없는 /?continue로 이동하게 됐다. 왜 이런 사이드 이펙트가 생기는지 찾기 어려웠다. 디버깅하면서도 자세한 구현체에 대해서 브레이크 포인트를 잘 걸어주고 디버그를 확인하는 것에 대해 미숙해서 확인하는 것이 어려웠다. 디버그 중 조금 전 확인한 핸들러에서 의도하지 않은 url로 이동하게 되었고 이에 대해 찾아보아서 해결법과 문제 요소를 알았다.
문제 요소는 .defaultSuccessUrl("/security-login") 이렇게 설정되어 있었는데 .defaultSuccessUrl("/security-login", true) 이렇게 바꾸어 주는 것으로 해결했다. 이는 성공 시 항상 설정한 경로로 리다이렉션 하게 설정한 것이다. 결론을 먼저 기술했지만 이는 사용자의 원래 요청을 복구하기 위해 Spring Security가 내부적으로 처리하는 과정에서 발생하는 문제였다. 사실 알고 보면 크게 어렵거나 난해한 부분은 아니지만 이유를 찾기가 까다로웠다.
해결법이 이전에 해결한 방법 이외에 방법도 소개하고 마치도록 하자.
이전에 핸들러를 디버깅해 확인하는 부분이 있었다.
AuthenticationSuccessHandler를 구현체로 만들어서 Custom AuthenticationSuccessHandler로
public class CustomAuthenticationSuccessHandler implements AuthenticationSuccessHandler {
@Override
public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {
response.sendRedirect("/security-login");
}
}이렇게 구성해 SecurityConfig에 이 핸들러를 설정해야 한다.
이로써 시큐리티에 대해 알아보았고 시큐리티에는 더 많은 설정을 할 수 있다. 이 부분에 대해서는 차차 JWT, Oauth2를 사용하며 더 알아보기로 하고 이번 포스팅은 여기까지 하도록 하겠다.
'spring' 카테고리의 다른 글
| Spring Oauth2 구글 로그인 (2) | 2024.07.16 |
|---|---|
| SpringBoot JWT에 대해서 (0) | 2024.07.15 |
| Springboot Session에 대해 (0) | 2024.07.12 |
| Springboot Cookie에 대해 (1) | 2024.07.11 |
| 멀티 모듈 kafka 추가하기 (1) | 2024.06.19 |
