[코드로 배우는 스프링 부트 웹 프로젝트] 10. Spring Boot와 Spring Security 연동 (1)

1. 스프링 시큐리티 프로젝트 생성
2. 스프링 시큐리티 커스터마이징

- 스프링 시큐리티에서 제공하는 로그인 처리 방식 이해
- JPA와 연동하는 커스텀 로그인 처리
- Thymeleaf에서 로그인 정보 활용하기

1. 스프링 시큐리티 프로젝트 생성

Dependencies 추가

Selected Dependencies

• Spring Boot DevTools
• Lombok
• Spring Web
• Spring Security 
• Thymeleaf
• Spring Data JPA

security - Spring Security 항목 포함하여 프로젝트 생성

JDK Version: 11
Java Version: 11

build.gradle에 확장 플러그인 추가

implementation group: 'org.mariadb.jdbc', name: 'mariadb-java-client'

implementation group: 'org.thymeleaf.extras', name: 'thymeleaf-extras-springsecurity5'
implementation group: 'org.thymeleaf.extras', name: 'thymeleaf-extras-java8time'

implementation group: 'org.thymeleaf.extras', name: 'thymeleaf-extras-springsecurity5'

application.properties에 설정 추가

spring.datasource.driver-class-name=org.mariadb.jdbc.Driver
spring.datasource.url=jdbc:mariadb://localhost:3306/bootex
spring.datasource.username=bootuser
spring.datasource.password=bootuser


spring.jpa.hibernate.ddl-auto=update
spring.jpa.properties.hibernate.format_sql=true
spring.jpa.show-sql=true


spring.thymeleaf.cache=false

spring.servlet.multipart.enabled=true
spring.servlet.multipart.location=C:\\upload
spring.servlet.multipart.max-request-size=30MB
spring.servlet.multipart.max-file-size=10MB

logging.level.org.springframework.security.web= debug
logging.level.org.zerock.security = debug

시큐리티 설정 클래스 작성

config 패키지 내에 SecurityConfig 클래스 생성

package com.oliviarla.club.config;

import lombok.extern.log4j.Log4j2;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@Configuration
@Log4j2
public class SecurityConfig extends WebSecurityConfigurerAdapter{
    
}

테스트를 위한 컨트롤러 작성

controller 패키지 내에 SampleController 클래스 생성

package com.oliviarla.club.controller;

import lombok.extern.log4j.Log4j2;
import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;

@Controller
@Log4j2
@RequestMapping("/sample/")
public class SampleController {
    @GetMapping("/all")
    public void exAll(){
        log.info("exAll..........");
    }

    @GetMapping("/member")
    public void exMember(){
        log.info("exMember..........");
    }

    @GetMapping("/admin")
    public void exAdmin(){
        log.info("exAdmin..........");
    }

}

스프링 시큐리티 용어와 흐름

Authentication Manager: 핵심 역할 수행,  전달된 아이디와 패스워드로 실제 사용자에 대해 검증, 다양한 방식으로 인증 처리 방법을 제공하기 위해 AuthenticationProvider 사용

Authentication Provider: 인증 매니저가 어떻게 동작해야하는지 결정, 전달받은 토큰의 타입을 처리할 수 있는지 확인 후 authenticate 메소드 수행

UserDetailsService: 최종적으로 실제 인증이 이뤄지는 부분, 실제로 인증을 위한 데이터를 가져오는 역할을 함

 

인증 처리 메서드에서 파라미터와 리턴 타입 둘 다 Authentication이라는 객체를 사용

 

인증(Authentication): 자신을 '증명'하는 과정 ex) 사용자가 은행에 가서 자신의 신분증으로 자신을 증명
인가(Authorization): 일종의 '허가'를 해 주는 과정 ex) 은행에서 사용자가 금고를 열 권한이 있는지 판단

 

필터와 필터 체이닝

필터: 서블릿이나 JSP에서 사용되는 필터와 동일 개념, 스프링 빈과 연동할 수 있는 구조로 설계

 

필터 체이닝: 여러 개의 필터가 Filter Chain이라는 구조로 request를 처리함, 개발 시 필터를 확장하고 설정하면 스프링 시큐리티를 이용해 다양한 형태의 로그인 처리 가능

 

스프링 시큐리티 필터의 주 역할: 인증 관련 정보를 토큰이라는 객체(UsernamePasswordAuthenticationToken)로 만들어 전달

 

인가와 권한/접근 제한

접근 제한: Authentication Manager로부터 반환된 Authentication객체 내에 있는 Roles라는 권한 정보로 사용자가 원하는 작업을 할 수 있는지 허가하는 행위

 

일반적으로 설정으로 원하는 목적지 url에 접근 제한을 건 후 스프링 시큐리티에 이에 맞는 인증을 처리하도록 함 

 

📌 실제 스프링 시큐리티 로직
단계 1. 사용자가 원하는 URL에 접근
단계 2. 스프링 시큐리티에서 인증/인가가 필요하다고 판단하여 사용자가 인증하도록 로그인 화면 보여줌
단계 3. 정보가 전달되면 Authentication Manager가 적절한 AuthenticationProvider를 찾아 인증을 시도

2. 스프링 시큐리티 커스터마이징

PasswordEncoder 객체 지정

패스워드를 인코딩하여 암호화하는 것, 스프링부트 2.0부터는 반드시 지정 필수

@Bean 어노테이션을 사용해 passwordEncoder 메소드에 BCryptPasswordEncoder를 지정

 

AuthenticationManager 설정

AuthenticationManager의 설정을 쉽게 처리할 수 있도록 도와주는 configure 메소드 override해서 처리

 

SpringConfig.java

package com.oliviarla.club.config;

import lombok.extern.log4j.Log4j2;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;

@Configuration
@Log4j2
public class SecurityConfig extends WebSecurityConfigurerAdapter{
    @Bean
    PasswordEncoder passwordEncoder(){
        return new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception{
        auth.inMemoryAuthentication().withUser("user1")
                .password("$2a$10$6KyZ2zpYI7572qw2/dxf3.iH0NmhqahNS.731iXWC4Ryjjh/7hlQq")
                .roles("USER");
    }
}

Authorization이 필요한 리소스 설정

특정한 리소스(URL)에 접근 제한 하는 방식

1) 설정을 통해 패턴 지정

2) 어노테이션 이용해서 적용

 

이번 예제에서는 (1)번 방식을 사용해 SecurityConfig.java 내에 HttpSecurity 타입을 파라미터로 받는 configure 메소드 오버라이드 한 후 접근 제한 처리

 

@Override
    protected void configure(HttpSecurity http) throws Exception{
        http.authorizeRequests()
                .antMatchers("/sample/all").permitAll()
                .antMatchers("/sample/member").hasRole("USER");
        http.formLogin();
    }

permitAll(): 모든 사용자가 접근 가능

hasRole("USER"): 로그인하여 USER라는 권한이 있는 사용자만 사용 가능

formLogin(): 인가, 인증에 문제 시 로그인 화면으로 리다이렉트되도록 함

CSRF 설정

- CRSF(Cross Site Request Forgery): 크로스 사이트 요청 위조

A 사이트 관리자인 피해자가 CSRF스크립트(<img>, <form> 태그 등)가 포함된 B 사이트의 게시글을 조회

-> CSRF 스크립트에 의해 A 사이트에 로그인 되어있는 관리자가 공격자의 계정 등급이 admin 등으로 변경하는 요청을 수행하게 됨

-> A 사이트에 공격자가 접근해 피해 발생

 

- CSRF 토큰: 기본적으로 세션 당 하나씩 생성됨

 

- CSRF 토큰 비활성화REST 방식 등에서는 매번 CSRF 토큰 값을 알아내야 하는 불편함이 있으므로 비활성화 함

@Override
    protected void configure(HttpSecurity http) throws Exception{
        http.authorizeRequests()
                .antMatchers("/sample/all").permitAll()
                .antMatchers("/sample/member").hasRole("USER");
        http.formLogin();
        http.csrf().disable();
    }

맨 마지막 줄 csrf().disable() 지정

Logout 설정

@Override
    protected void configure(HttpSecurity http) throws Exception{
        http.authorizeRequests()
                .antMatchers("/sample/all").permitAll()
                .antMatchers("/sample/member").hasRole("USER");
        http.formLogin();
        http.csrf().disable();
        http.logout();
    }

'/logout' URL 호출 시 로그아웃 처리

+) CSRF 토큰 사용 시 POST방식으로만 로그아웃 처리, 토큰 비활성화 시 GET 방식으로 로그아웃 처리 가능

 

logoutUrl(), logoutSuccessUrl() 등의 추가 설정 가능

invalidatedHttpSession(), deleteCookies() 사용해 세션이나 쿠키 무효화 설정 가능