[Spring Boot] Spring Security 실전 프로젝트 - 인증 프로세스 Form 인증(2)

 

이 글은 인프런 -  Spring Boot 기반으로 개발하는 Spring Security를 학습하면서 정리한 내용 입니다.

 

 

 

스프링 마이크로 서비스 코딩 공작소 개정 2판

"이 포스팅은 쿠팡 파트너스 활동의 일환으로, 이에 따른 일정액의 수수료를 제공받습니다."

 

 

 

GIT HUB 주소 : https://github.com/junyharang-coding-study/spring-security-form-auth

 

 

 

🗂 목차

● [Spring Boot] Spring Security Basic - 기본 API 및 Filter 이해편 
● [Stpring Boot] Spring Security Basic - Spring Security 주요 아키텍처 이해편
● [Stpring Boot] Spring Security 실전 프로젝트 - 인증 프로세스 Form 인증 구현(1)   
● [Stpring Boot] Spring Security 실전 프로젝트 - 인증 프로세스 Form 인증 구현(2)
● [Stpring Boot] Spring Security 실전 프로젝트 - 인증 프로세스 Ajax 인증 구현

 

 

 

 

 

🚀 Form Authentication

    🔽  인증 실패 Handler

        📦 CustomAuthenticationFaliureHandler

 

CustomAuthenticationFailureHandler.java

728x90

최초 SimpleAuthenticationFaliureHandler를 상속한 Class를 생성해 주었고, onAuthenticationFailure()를 재 정의해 주었어요.

19번째 줄에 Client에 Error Message로 보여지게 될 기본 문자열을 지정해 주었어요.
그런 뒤 21번째 줄에 BadCredentialException이 터지게 되면 즉, 이용자가 비밀번호를 잘 못 입력하게 되면 Error Message가 22번째 줄에 입력된 것 errorMessage 변수에 담기게 해주었고, InsufficientAuthenticationException이 터지게 되면 24번째 문자열이 errerMessage 변수에 담기게 해 주었어요. 

그런 뒤 인증 실패가 발생하게 되면 이동하게 될 URI설정과 함께 접미에 errorMessage 객체에 담긴 문자열을 넣어주어서 Client에게 보일 수 있도록 처리해준 뒤 부모 Class에게 해당 인증 실패 처리를 위임해 주도록 29번째 줄에 처리를 하였어요.

UserController.java

signin API Method의 경우에는 error와 exception이 발생하게 되면 해당 값을 받아야 하고, 안 발생하면 안 받아야 하기 때문(required = false)에 41 ~ 42번째 줄에 URL Parameter 값으로 받도록 처리를 해 주었어요.

error와 exception은 Key, Value Type으로 값을 담아줄건데, "error"가 Key가 되고, error 내용이 Value가 될 것이에요. Exception도 마찬가지구요!

그 내용을 담기 위해 Model 객체를 이용해 주었습니다.

그런 뒤 signin Page로 이동을 시켜주었어요.

 

💡 참고 사항
Spring Boot Model 객체

1. Model 객체는 HashMap 형태를 갖고 있어 Key, Value 형식으로 이용 가능.
2. addAttribute()는 Map의 put과 같은 기능으로 Model 객체 안에 원하는 Key, Value값을 저장한 뒤 Client(View)에 Data를 전달.

반응형

비즈니스 로직은 Service 담당이기 때문에 Service의 signIn()를 호출해서 매개 변수 값들을 모두 전달해 주었어요.

UserService.java

 

UserServiceImpl.java

 

비즈니스 로직에서 매개 변수로 받은 Model 객체에 Key, Value Type으로 error 내용과 exception 내용을 저장해 주었습니다.

signin.html

 

여기에서는 parameter값에 error가 존재하면 <span> 내용이 출력되게 하였는데, Text Type으로 exception 내용이 보이도록 해 주었어요.

WebSecurityConfigure.java

 

28번째 줄에 AuthenticationFailureHandler를 주입하였어요.

WebSecurityConfigure.java

그런 뒤 70번째 줄과 같이 인증 실패 처리 Handler 설정을 완료 하였습니다.

위 Test는 이용자가 비밀번호를 잘 못 입력했을 때 상황이에요. 이렇게 비밀번호가 틀리면 해당 Exception에 대한 error Message가 출력되도록 처리 되었습니다.

 

 

 

 

    🔽  인증 거부 처리

        📦 Access Denied

인증을 시도했을 때, 인증 관련 예외 발생 시 AuthenticationFilter가 해당 작업을 처리하게 됩니다.
그런데, 인증은 성공했는데, 인증 성공 뒤 어떤 자원에 접근하려고 할 때, 자원 접근 권한이 없을 경우나, 권한이 아닌 경우에는 인가 관련 예외가 발생하게 됩니다.

인가 관련 예외는 FilterSecurityInterceptor가 발생시키게 되요.
그리고, 인가 예외를 처리하는 ExceptionTranslationFilter가 인가 관련 예외를 받게 됩니다.

CustomAccessDeniedHandler.java

 

이 처리를 위해 AccessDeniedHandler를 구현한 구현체를 만들어 주었고, Exception이 터졌을 경우 이동할 Page 경로를 담을 errorPage Member 변수를 만들어 주었고, setter를 만들어 주었어요.

그런 뒤 handle()를 재정의 하도록하고, 22번째 줄에 인가 관련 Exception이 터졌을 경우 이동할 Page 경로를 설정해 주는데, Member 변수 errorPage(denied이라는 문자열)과 ?authorization-exception 그리고, 해당 Exception에 대한 Message가 담기도록 해 주었어요.

그런 뒤 해당 URI로 응답값을 보내 이동하도록 처리 하였어요.

UserController.java

인가 예외가 발생했을 시 해당 내용을 처리할 API를 만들어 주었어요.
인가 문제가 발생하게 되면 해당 Exception을 받아야 하기 때문에 URI로 받을 수 있게 59번째 줄에 설정을 해주었고, Map 형식으로 값을 받기 위해 Model 객체를 같이 매개 변수로 받도록 해 주었어요.

그런 뒤 비즈니스 로직을 Service에게 위임하도록 하였고, /error 밑에 위치한 denied.html에 대한 Page Rendering 되도록 하였어요.

UserService.java

UserServiceImpl.java

63번째 줄에 해당 자원 접근 요청 이용자에 정보를 꺼내기 위해 ContextHolder 객체 안 Context안에 인증 객체를 꺼내고, 그 객체 안에 Principal(이용자 ID 정보)를 꺼내도록 하였는데, 해당 내용은 Object Type이라 Member Entity Type으로 형변환을 해서 받았어요.

그런 뒤 model 객체에 이용자 ID정보와 Exception 내용을 담아 Client에게 전달되도록 처리 하였습니다.

WebSecurityConfigure.java

SpringSecurity Config 안에 62 ~ 64번째 줄과 같이 설정을 해주어야 하는데, 위와 같이 문제가 발생하였어요.

WebSecurityConfigure.java

이 문제는 77번째 줄로 인해 발생하는 건데, authenticationDetailsSource는 Interface인데, 여기다가 그냥 넣어버려서 발생하는 것이에요.

WebSecurityConfigure.java

먼저 해당 객체를 구현했던 구현체를 주입받도록 처리하였어요.

WebSecurityConfigure.java

그리고, 해당 객체를 76번째 줄에 넣어주게 되면 문제는 사라지게 됩니다.


참고로 denied.html은 새롭게 만들어졌고, 이 부분에 대해서는 주니하랑 Git Hub에서 확인하실 수 있습니다.

 

User 계정으로 최초 인증을 받도록 할게요.

user 계정에 접근 권한이 있는 Mypage는 정상 접근이 가능합니다.

하지만 Admin 권한만 접근 가능한 환경설정 Page에 접근 요청을 했을 시 위와 같이 Error Page를 만나는 것을 볼 수 있어요.

이전 글 : [Stpring Boot] Spring Security 실전 프로젝트 - 인증 프로세스 Form 인증 구현(1)

다음 글 : [Stpring Boot] Spring Security 실전 프로젝트 - 인증 프로세스 Ajax 인증 구현

 

 

 

 

스프링 마이크로 서비스 코딩 공작소 개정 2판

"이 포스팅은 쿠팡 파트너스 활동의 일환으로, 이에 따른 일정액의 수수료를 제공받습니다."