[Spring Boot] Spring Security 실전 프로젝트 - 인증 프로세스 Form 인증(1)

[Spring Boot] Spring Security 실전 프로젝트 - 인증 프로세스 Form 인증(1)

2022. 8. 23. 08:08ㆍBack-End 작업실/Spring Framework

728x90

스프링 시큐리티 인 액션:보안 기초부터 OAuth 2까지

COUPANG

www.coupang.com

"이 포스팅은 쿠팡 파트너스 활동의 일환으로, 이에 따른 일정액의 수수료를 제공받습니다."

이 글은 인프런 - Spring Boot 기반으로 개발하는 Spring Security를 학습하면서 정리한 내용 입니다.

GIT HUB 주소 : https://github.com/junyharang-coding-study/spring-security-form-auth

🗂 목차

● [Spring Boot] Spring Security Basic - 기본 API 및 Filter 이해편
● [Stpring Boot] Spring Security Basic - Spring Security 주요 아키텍처 이해편
● [Stpring Boot] Spring Security 실전 프로젝트 - 인증 프로세스 Form 인증 구현(1)
● [Stpring Boot] Spring Security 실전 프로젝트 - 인증 프로세스 Form 인증 구현(2)
● [Stpring Boot] Spring Security 실전 프로젝트 - 인증 프로세스 Ajax 인증 구현

🚀 Form Authentication

🔽 인증(Authentication) Process 구현

📦 Project 구성하기

Project 구성은 아래와 같이 진행을 해보려고 해요.

1. Project 이름

• spring-security-formAuth

2. Project 기본 구성

• 의존성 설정, 환경 설정, UI 화면 구성, 기본 CRUD 기능 구현
• Spring Seucrity 기능을 점진적으로 구현 및 완성

3. Data Base Management System

• H2-DB
• 강의에서는 Postgresql Server를 이용하나, 주니하랑은 위의 DB 이용

최초 각각의 Controller를 만들어 줄게요.

먼저 Package Tree 구조는 아래와 같습니다.

강의에서 타임리프를 통한 Front End Code를 이미 구성해서 강의가 진행되는데요.
이 Code는 주니하랑 Git Hub에서 확인하실 수 있습니다.

이번에는 Spring Security Config 즉, 설정 관련 Code를 작성해 볼게요.

참고로 Spring Security 5.7 Version 이상에서 더 이상 WebSecurityConfigurerAdapter 사용을 권장하지 않고 있어요. 이 내용은 이 곳 공식 홈페이지를 참고해 주세요!

위와 같은 이유로 SecurityFilterChain을 Bean으로 등록해서 강의와는 다르게 Code가 작성 되었습니다!

💡 참고 사항
found websecurityconfigureradapter as well as securityfilterchain. please select just one.
SeucityFilterChain을 @Bean 객체로 등록하면 위와 같은 Error가 발생했을 때 대처법.

이는 SpringBoot에서 이미 default로 SecurityFilterChain을 등록하는데, @Bean을 통해 또다시 객체 주입을 시도하게 되면 둘 중 하나만 이용하라고 경고를 하는 것이다.
@ConditionalOnDefaultWebSecurity
@ConditionalOnWebApplication(type = ConditionalOnWebApplication.Type.SERVLET)
해결 방안으로 두 개 Annotation을 Class 선언문 위에 추가하고,
@Order(SecurityProperties.BASIC_AUTH_ORDER)
위 Annotation을 filter Method 위에 추가하면 된다.

우리는 이번 시간에 Form 인증 방식을 구현할 거에요.
그래서 모든 요청에 대해 인증을 받도록 하였고(15 ~ 17번째 줄), formLogin()으로 인증 처리하겠다고 선언을 해 주었어요.

💡 참고 사항

만약 위와 같이 Controller에 String으로 return을 주었을 때, 문제가 발생한다면 Page에 접속할 수가 없다.
이 문제는 thymleaf 관련 Error인데, 현재 주니하랑은 thymleaf 관련 Dependency를 추가하지 않았다.
Maven Builder를 사용할 경우 pom.xml에 아래와 같이 Dependency를 추가해준다.

Gradle Builder를 사용할 경우 build.gradle에 아래와 같이 Dependency를 추가해 준다.

728x90

이제 위와 같이 인증을 시도해 볼게요!

정상적으로 /home에 접속하였습니다!

이번에는 Momory에 임시로 사용될 사용자 계정 설정을 해볼게요.

위와 같이 세 명의 이용자를 임시로 생성해 주었어요.

역시 WebSecurityConfigurerAdpter를 상속해서 하는 방식이 아니기 때문에 위와 같이 공식 문서에 나와 있는 방식대로 진행하였습니다.

이제는 권한 설정을 해 주었어요.

먼저 53번째 줄에 root Page에 대해서는 모든 이용자가 다 접근(permitAll())할 수 있게 처리를 해주었고, /user라는 URI 하위 자원은 USER 권한이 접근 가능하고, /manager URI 하위 자원은 MANAGER 권한이 접근하고, ADMIN도 마찬가지로 처리를 해 주었습니다.

이 때 Server를 기동하면 전과 같이 Spring Security는 USER라는 권한에 Password를 따로 만들어주지 않아요.
왜냐하면 이미 In Memory에 각각의 계정을 생성해 주었기 때문이에요.

최초 root Page 즉, home은 모든 이용자가 접근이 가능하게 처리를 했기 때문에 인증 여부와 상관없이 접근을 할 수 있어요.

이번에는 My Page 접속을 위해 Navigation Bar에 마이페이지를 클릭해 볼게요.

그럼 Login 창을 만날 수 있는 것을 확인할 수 있어요.

왜냐하면 USER라는 권한을 확인해야 하기 때문이에요.

USER 계정으로 접속을 시도해 볼게요.

이렇게 USER 권한을 허용하는 My Page에 접속이 되었어요.

이 때, 해당 이용자가 config 즉, ADMIN 권한이 있는 이용자만 이용 가능한 Page에 접속할 시 403 Forbidden Error를 만날 수 있는 것을 볼 수 있어요.

📦 WebIgnore 설정

1. js / css / image File 등 Security Filter를 적용할 필요가 없는 자원에 대한 설정.

Spring Security 5.7 이하 Version 사용법

import lombok.extern.slf4j.Slf4j;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

	@override
    public void configure(WebSecurity web) throws Exception {
    
    	web
        	.ignoring()
            	.requestMatchers(PathRequest.toStaticResources()
                	.atCommonLocations());
}

Spring Security 5.7 이상 Version 사용법

import com.junyharang.springsecurityformauth.constant.ServiceURIManagement;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.provisioning.InMemoryUserDetailsManager;
import org.springframework.security.web.SecurityFilterChain;

@EnableWebSecurity          // Spring Security 설정 활성화
@Configuration
public class WebSecurityConfigure {

	@Bean
    public WebSecurityCustomizer websecurityCustomizer() {
    	return (web) -> web.ignoring().antMatchers("/css/**", "/js/**", "/img/**", "/lib/**", "/favicon.ico");
    }
}

Spring Security는 Project 내에 모든 Code에 대해 보안 Filter를 하도록 기본적으로 설정이 되어 있어요.
그래서 js / css / image 등과 같은 File도 따로 설정을 해 주지 않으면 Spring Security Filter에서 해당 이용자가 접근 여부를 검사하게 되어 있습니다.

하지만, 위 자원들은 보안 설정이 필요가 없는 친구들이에요.

그래서 위와 같이 보안 설정이 필요 없는 설정을 추가해주어야 합니다.

위의 Code는 .antMatchers("/xx").permitAll() 과 같이 인증 / 인가 처리 없이 접근이 가능하게 하는 설정과 똑같아요.

다만, 차이점은 .antMatchers("/xx").permitAll()는 일단 SecurityFilter 안에 들어와서 심사를 받고, 통과를 하게 처리하는데, 위의 web.ignoring()은 아예 SecurityFilter를 거치지 않고, 통과가 됩니다.

🔽 Form 인증

📦 이용자 등록 및 PasswordEncoder

PasswordEncoder란?

1. 비밀번호를 안전하게 암호화(단방향 - Hash 암호화) 하는 기능 제공
2. Spring Security 5.0 이하에는 기본 PasswordEncoder가 평문을 지원하는 NoOpPasswordEncoder(현재는 Deprecated)였음.

3. 생성

PasswordEncoder passwordEncoder = PasswordEncoderFactories.createDelegatingPasswordEncoder();

• 여러개의 PasswordEncoder 유형을 선언하고, 상황에 맞게 선택해서 사용할 수 있도록 지원하는 Encoder.

4. 암호화 포맷 : {id - Algorithm 종류}encodedPassword

• 기본 포맷 : Bcrypt - {bcrypt}$2a$10$dXJ3SW6G7P50IGmMkkmwe.20cQQubK3.HZWzG3YB1tlRy.fqvM/BG
• Algorithm 종류 : bcrypt, noop(평문), pbkdf2, scrypt, sha256, 등등..

5. Interface

• encode(password).
- Password 암호화.

• matches(rawPassword, encodedPassword) 결과값은 Boolean.
- 회원가입 시 암호화 되어 저장된 이용자 Password와 Login 시 입력된 Password를 암호화 하여 서로 같은지 비교.

먼저 회원이 가입할 때, 값을 담을 Entity를 위와 같이 구성해 주었어요.

Client가 회원 가입이라는 요청을 보낼 때, 이용자가 보낸 값들을 담은 요청 DTO에요.

Controller에요.

24~27번째 줄까지는 해당 회원 가입 Page 접속을 위한 API이고, 29 ~ 34번째까지는 실제로 Client에서 이용자가 회원 가입을 위해 입력한 값을 DTO로 받아 회원 가입을 처리하는 API에요.

Service Interface에 위와 같이 추상 Method를 하나 만들어 주었구요.

위와 같이 구현체를 생성해 주었어요.
24번째 줄에 보면 이용자가 입력한 Password를 암호화해서 DataBase에 저장을 해야해요.

강의에서는 Controller에서 비즈니스 로직을 구현하는 등, 제가 배웠고, 사용하는 방법과 달라 다르게 구현을 하였습니다.

이용자가 입력한 Password를 꺼내서 passwordEncoder로 암호화를 한 뒤 다시 해당 DTO에 넣도록 하였어요.

또한 Data Base 처리를 위한 JPA save()에 값을 넣을때는 DTO를 Entity로 변환하여 넣어주었습니다.

회원 가입에 대한 HTML Code는 주니하랑의 Git Hub에 방문하시면 만나 보실 수 있습니다.

회원 가입 Page 접근은 이용자 모두가 가능해야 해요.

그렇기 때문에 52번째 줄처럼 root page와 회원가입 page는 인증 / 인가 처리 없이 접근 가능하게 처리하였습니다.

오른쪽 위에 보이는 '회원 가입'을 눌러볼게요.

이렇게 잘 접근 된 것을 확인할 수 있어요.

위와 같이 회원 가입을 진행 해 볼게요.

회원 가입이 완료되면 root page에 이동하게 처리가 되었기 때문에 root Page로 이동 되었습니다.

Data Base에도 값이 정상적으로 들어갔어요.

📦 CustomUserDetailsService

이번에는 SpringSeucrity를 이용하여 인증 즉, 로그인 처리를 구현해 보도록 할게요.

먼저 User 객체를 상속한 CustomUserDetails를 만들어 주고,

Memeber Entity를 Member 변수로 넣어 두었어요.

그런 뒤 생성자를 만들어서 매개 변수로 이용자의 정보(username, password, age 등)와 권한 목록을 받을 수 있도록 만들어 준 뒤 User 객체에 전달 되도록 구현을 하였어요.

나중에 Member 객체를 참조할 수 있도록 getter와 해당 멤버 변수 처리를 해 주었습니다.

실제로 인증 처리를 하기 위한 Service 객체에요.

먼저 UserDetailsService Interface를 구현하여 UserRepository를 주입받도록 하고, Service Annotation으로 Bean 객체로 등록하였어요.

그런 뒤 loadUserByusername()를 재정의 하여 줍니다.

25번째 줄에 인증 요청을 한 이용자의 ID가 Data Base에 있는지 찾아서 해당 이용자 정보를 모두 불러오도록 하였어요.

이 때, Null Safe 처리를 위해 Optional로 감싸 주었습니다.

Repository에 findUsername() 추상 Method를 만들어 이용자의 id를 받도록 하고, DB에서 조회된 이용자 정보가 Optional로 감싸져서 반환되도록 처리 하였어요.

27 ~ 28번째 줄은 Data Base에 인증 요청 이용자 ID가 존재하지 않으면 UsernameNotFoundException이 반환되도록 처리하였어요.

해당 ID가 존재한다면 Optional로 감싸진 객체를 Member 객체로 풀어주고, 권한 정보를 받기 위해 List를 생성해 주었어요.

그런 뒤 해당 List에 이용자가 가지고 있는 권한 정보를 넣어주었습니다.

마지막으로 CustomUserDetails 객체를 만들어 이용자의 정보와 권한 목록을 반환하도록 하여주었습니다.

위에서는 SpringSecurity 5.7 이상부터 사용하지 못하는 WebSecurityConfigurerAdapter를 상속받지 않고 하는 방법으로 했었는데, 위에서 만든 UserDetails 관련 처리를 SpringSecutiry가 처리하도록 하는 부분에서 아무리 찾아도 방법이 없어 어쩔 수 없이 위와 같이 처리를 하였어요.

31 ~ 33번째 줄에 AuthenticationManagerBuilder 객체에 userDetailsService()에 주니하랑이 만든 userDetailsService 객체를 전달해 주었습니다.

이를 위해 23번째에 해당 객체를 주입해 주었어요.

Test를 위해 manager와 user1 이용자로 회원가입을 하였습니다.

Data Base에는 정상적으로 값이 들어 갔어요.

인증 요청을 해 볼게요!

JPA가 정상적으로 이용자 정보를 조회한 걸 확인할 수 있습니다!

정상적으로 Login 처리가 완료 되었어요!

📦 CustomAuthenticationProvider

위에서 주니하랑은 CostomUserDetailsService를 통해 이용자가 인증을 정상적으로 완료하면 인증 이용자 정보를 반환하도록 구현을 하였어요.

지금부터는 CostomUserDetailsService가 반환하는

CustomUserDetails 값을 받아 추가 검증을 처리하는 AuthenticationProvider 구현체를 만들어 인증 처리가 되도록 구현해 볼게요.

최초 AuthenticationProvider 구현체를 만들어주고, 위에서 만든 UserDetailService와 암호화된 Password 비교를 위해 PasswordEncoder를 주입하여 주었어요.

그런 다음 authenticate()를 재정의하는데, 이 Method는 인증 객체인 authentication을 받도록 되어 있어요.

22 ~ 23번째 줄에 인증 요청한 이용자가 입력한 이용자 ID와 Password를 각각 꺼내 받고, userDetailsService 안에 loadUserByUsername() 에게 전달을 하여 주었어요.

loadUserByUsername()은 해당 인증 요청 이용자가 입력한 ID가 Data Base에 저장된 ID와 일치하는지 확인하는 역할을 하고 있어요.

이용자 ID가 존재하는지 판단을 하고, 정상 처리가 되었다면 Provider에게 결과를 반환해 줄거에요.

이 때 반환 객체 Type은 주니하랑이 위에서 만든 CustomUserDetails로 받고 있어요.

27 ~ 28번째 줄에서 이용자가 입력한 Password와 Data Base에 저장된 Password의 암호화된 값이 일치하는지 확인하고 있어요. 첫번째 매개변수에는 이용자가 입력한 값을 넣어주고, 두번째는 Data Base에 저장된 값을 넣어 주었어요.

비밀번호가 틀렸다면 BadCredentialsException과 함께 안에 문자열이 같이 전달될 것이에요.

해당 이용자에 비빌번호가 맞다면 Token을 하나 만들어주게 되는데, 이 때, 이용자의 모든 정보가 담긴 Member 객체를 getter로 불러 넣어주고, 이미 비밀번호는 이 안에 들어가 있기 때문에 Null로 두번째 매개 변수에 전달을 하고, 마지막으로 해당 이용자의 권한 목록을 전달하여 그 값을 가지고, Token을 생성하게 해줘요.

supports()는 authentication 객체 Type과 CustomAuthenticationProvider에서 이용하고자 하는 Token 값이 일치하는지 확인하고, 인증 처리해 주는 친구에요.

이전 글 : [Spring Boot] Spring Security Basic - Spring Security 주요 아키택쳐 이해하기

다음 글 : [Stpring Boot] Spring Security 실전 프로젝트 - 인증 프로세스 Form 인증 구현(2)