1. 스프링 시큐리티 구조
- 사용자가 로그인 요청을 한다.
- 스프링 시큐리티는
UserDetails인터페이스를 통해 비밀번호, 권한 등을 인증한다.
- ScurityContextHolder 에 Authentication 객체로 저장함.
2. SecurityConfig
package shop.mtcoding.blog._core.config; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder; import org.springframework.security.web.SecurityFilterChain; import org.springframework.security.web.util.matcher.RegexRequestMatcher; @Configuration //컨퍼넌트 스캔. public class SecurityConfig { @Bean // 시큐리티 컨텍스트 홀더에 값이 생김. public BCryptPasswordEncoder encoder(){ return new BCryptPasswordEncoder(); } //보안을 위한 필터 @Bean // 현재는 모든 걸 무효화. SecurityFilterChain configure(HttpSecurity http) throws Exception { http.csrf(c -> c.disable()); //CSRF 보호 기능을 비활성화하는 코드 // 람다식으로 만들어짐 http.authorizeHttpRequests(a -> { // "/board/**" /board/ 뒤에 모든 주소는 인증이 필요함 //anyRequest().permitAll() 앞의 주소가 아닌 주소는 허용해줌 a.requestMatchers(RegexRequestMatcher.regexMatcher("/board/\\d+" + "")).permitAll()// /board/숫자는 제외하기 위해 .requestMatchers("/user/**","/board/**").authenticated().anyRequest().permitAll(); // 인증이 되지 않으면 못들어가는 페이지 }); http.formLogin(f -> { // 로그인 페이지로 리다이렉션 f.loginPage("/loginForm").loginProcessingUrl("/login").defaultSuccessUrl("/").failureUrl("/loginForm"); // } ); return http.build(); // 시큐리티 필터 체인을 반환 } }
authorizeHttpRequests : HTTP 요청에 대한 인가(Authorization) 설정을 구성requestMatchers(RegexRequestMatcher.regexMatcher("/board/\\d+")).permitAll() : 정규식으로 “/board/”숫자를 허용requestMatchers("/user/**","/board/**") : 주소에 대한 매칭authenticated() : 인증된 사용자에게만 접근 허용anyRequest() : 모든 요청에 대해서 설정을 적용loginProcessingUrl("/login") : 로그인을 처리하는 urldefaultSuccessUrl("/") : 로그인 성공하면 전환될 페이지failureUrl("/loginForm") : 로그인 실패 시 전환될 페이지2. username 조회 메서드 만들기
user/UserRepository
public User findByUsername(String username) { Query query = em.createNativeQuery("select * from user_tb where username=?",User.class); query.setParameter(1,username); try{ User user = (User) query.getSingleResult(); return user; }catch (Exception e){ return null ; } }
username 으로 데이터를 조회한다. 기존 로그인은 username 과 password 를 받아야 하지만, 스프링 시큐리티를 사용하면 username 만 받아서 조회할 수 있다.
3. MyLoginServise
package shop.mtcoding.blog._core.config.security; import jakarta.servlet.http.HttpSession; import lombok.RequiredArgsConstructor; import org.springframework.security.core.userdetails.MapReactiveUserDetailsService; import org.springframework.security.core.userdetails.UserDetails; import org.springframework.security.core.userdetails.UserDetailsService; import org.springframework.security.core.userdetails.UsernameNotFoundException; import org.springframework.stereotype.Service; import shop.mtcoding.blog.user.User; import shop.mtcoding.blog.user.UserRepository; // 때려지는 조건 post , /login, x-www-form-urlencoded 로 와야야됨, 키 값이 반드시 username,password 여야 함 //login @RequiredArgsConstructor @Service // 컨포넌트 스캔. UserDetailsService 를 @Service가 무력화. 내가 구혀한 loadUserByUsername 가 실행됨 public class MyLoginServise implements UserDetailsService { private final UserRepository userRepository ; private final HttpSession session; // UserDetails 를 만들어서 리턴해주면 됨. @Override //username 만 넘어감. public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { System.out.println("loadUserByUsername:"+username); User user = userRepository.findByUsername(username); if(user==null){ System.out.println("user는 null"); return null ; //fail }else { //머스태치 접근을 위해 세션을 따로 만듬 return new MyLoginUser(user) ; // 리턴을 하는 이유는 세션에 저장하려고. } //세션에 넣기 직전에 getPassword 메서드를 호출함. 패스워드랑 유저 객체랑 비교해서 알아서 패스워드를 체크해줌 //세션에 저장되는게 아니라 SecurityContextHolder 에 저장 } //ioc 컨테이너에 UserDetailsService가 뜸/ }
MyLoginServise 클래스를 생성한다.
UserDetailsService 클래스를 구현한다.UserDetailsService 는 loadUserByUsername 를 구현해야 하는데 이 클래스로 username 을 전달한다.loadUserByUsername 는 UserDetails 를 리턴한다. 따라서 UserDetails 을 구현해야 한다.4. MyLoginUser 객체 만들기
@RequiredArgsConstructor public class MyLoginUser implements UserDetails { private final User user ; //DB에서 패스워드 조회하기 위해 의존성주입하려고 @Override public String getPassword() { return user.getPassword(); //DB의 비밀번호 } @Override public String getUsername() { return user.getUsername(); } @Override public boolean isAccountNonExpired() { return true; } @Override public boolean isAccountNonLocked() { return true; } @Override public boolean isCredentialsNonExpired() { return true; } @Override public boolean isEnabled() { return true; } @Override public Collection<? extends GrantedAuthority> getAuthorities() { return null; } }
MyLoginUser 는 UserDetails 를 구현한다. 그러면 필수적으로 아래의 메서드를 구현해야 하며, 각 메서드로 권한 인증을 한다.5. 로그인 테스트 해보기
@GetMapping({"/"}) public String index(HttpServletRequest request,@AuthenticationPrincipal MyLoginUser myLoginUser) { System.out.println("로그인 되었나? : "+myLoginUser.getUsername()); // 이걸 작성하면 메인페이지가 접속되지 않음. myLoginUser 데이터 넘어오는지 확인하고 삭제 List<Board> boardList = boardRepository.findAll(); request.setAttribute("boardList", boardList); return "index"; }
@AuthenticationPrincipal 를 통해 인증된 유저의 데이터를 가져온다.6. View에 인증 데이터 전달
스프링 시큐리티를 사용하게 되면 세션이 아니라 Authentication 에 저장된다.
따라서 머스태치에 데이터를 전달하려면 다음과 같이 전달되어야 한다.
{{#SecurityContextHolder.SecurityContext.Authentication}} {{/SecurityContextHolder.SecurityContext.Authentication}}
위의 코드처럼 Authentication를 꺼내기 위해 불필요한 코드를 적게 된다.
그래서 편리하게 사용하기 위해 머스태치에 사용할 값을 세션에 따로 저장해둔다.
@Override //username 만 넘어감. public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { User user = userRepository.findByUsername(username); if(user==null){ System.out.println("user는 null"); return null ; //fail }else { //머스태치 접근을 위해 세션을 따로 만듬 System.out.println("user를 찾음"); session.setAttribute("sessionUser",user); // 머스태치용 return new MyLoginUser(user) ; // 리턴을 하는 이유는 세션에 저장하려고. } //세션에 넣기 직전에 getPassword 메서드를 호출함. 패스워드랑 유저 객체랑 비교해서 알아서 패스워드를 체크해줌 //세션에 저장되는게 아니라 SecurityContextHolder 에 저장 }
머스태치 용으로 세션 값을 저장한다.
layout/header.mustache
<div class="collapse navbar-collapse" id="collapsibleNavbar"> <ul class="navbar-nav"> {{#sessionUser}} <li class="nav-item"> <a class="nav-link" href="/board/saveForm">글쓰기</a> </li> <li class="nav-item"> <a class="nav-link" href="/user/updateForm">회원정보보기</a> </li> <li class="nav-item"> <a class="nav-link" href="/logout">로그아웃</a> </li> {{/sessionUser}} {{^sessionUser}} <li class="nav-item"> <a class="nav-link" href="/joinForm">회원가입</a> </li> <li class="nav-item"> <a class="nav-link" href="/loginForm">로그인</a> </li> {{/sessionUser}} </ul> </div>
7. 불필요한 인증 코드 삭제
package shop.mtcoding.blog.board; import jakarta.servlet.http.HttpServletRequest; import jakarta.servlet.http.HttpSession; import lombok.RequiredArgsConstructor; import org.springframework.security.core.annotation.AuthenticationPrincipal; import org.springframework.stereotype.Controller; import org.springframework.web.bind.annotation.*; import shop.mtcoding.blog._core.config.security.MyLoginUser; import shop.mtcoding.blog.user.User; import java.util.HashMap; import java.util.List; @RequiredArgsConstructor @Controller public class BoardController { private final HttpSession session; private final BoardRepository boardRepository; @PostMapping("/board/{id}/update") public String update(@PathVariable int id, BoardRequest.UpdateDTO requestDTO,@AuthenticationPrincipal MyLoginUser myLoginUser){ // 권한 체크 Board board = boardRepository.findById(id); if(board.getUserId() != myLoginUser.getUser().getId()){ return "error/403"; } // 핵심 로직 // update board_tb set title = ?, content = ? where id = ?; boardRepository.update(requestDTO, id); return "redirect:/board/"+id; } @GetMapping("/board/{id}/updateForm") public String updateForm(@PathVariable int id, HttpServletRequest request,@AuthenticationPrincipal MyLoginUser myLoginUser){ // 모델 위임 (id로 board를 조회) Board board = boardRepository.findById(id); if(board.getUserId() != myLoginUser.getUser().getId()){ return "error/403"; } // 가방에 담기 request.setAttribute("board", board); return "board/updateForm"; } @PostMapping("/board/{id}/delete") public String delete(@PathVariable int id, HttpServletRequest request,@AuthenticationPrincipal MyLoginUser myLoginUser) { // 권한 인증 Board board = boardRepository.findById(id); if (board.getUserId() != myLoginUser.getUser().getId()) { request.setAttribute("status", 403); request.setAttribute("msg", "게시글을 삭제할 권한이 없습니다"); return "error/40x"; } boardRepository.deleteById(id); return "redirect:/"; } @PostMapping("/board/save") public String save(BoardRequest.SaveDTO requestDTO, HttpServletRequest request,@AuthenticationPrincipal MyLoginUser myLoginUser) { // 바디 데이터 확인 및 유효성 검사 System.out.println(requestDTO); if (requestDTO.getTitle().length() > 30) { request.setAttribute("status", 400); request.setAttribute("msg", "title의 길이가 30자를 초과해서는 안되요"); return "error/40x"; // BadRequest } // 모델 위임 // insert into board_tb(title, content, user_id, created_at) values(?,?,?, now()); boardRepository.save(requestDTO, myLoginUser.getUser().getId()); return "redirect:/"; } @GetMapping({"/"}) public String index(HttpServletRequest request,@AuthenticationPrincipal MyLoginUser myLoginUser) { System.out.println("로그인 되었나? : "+myLoginUser.getUsername()); List<Board> boardList = boardRepository.findAll(); request.setAttribute("boardList", boardList); return "index"; } @GetMapping("/board/saveForm") public String saveForm() { return "board/saveForm"; } @GetMapping("/board/{id}") public String detail(@PathVariable int id, HttpServletRequest request,@AuthenticationPrincipal MyLoginUser myLoginUser){ // 1. 모델 진입 - 상세보기 데이터 가져오기 BoardResponse.DetailDTO responseDTO = boardRepository.findByIdWithUser(id); boolean pageOwner; if (myLoginUser == null) { pageOwner = false; } else { int 게시글작성자번호 = responseDTO.getUserId(); int 로그인한사람의번호 = myLoginUser.getUser().getId(); pageOwner = 게시글작성자번호 == 로그인한사람의번호; } request.setAttribute("board", responseDTO); request.setAttribute("pageOwner", pageOwner); return "board/detail"; } }
User sessionUser = (User) session.getAttribute("sessionUser"); if(sessionUser==null){ return "redirect:/loginForm";
기존 인증이 필요한 모든 컨트롤러에 적용되었던 코드를 삭제했다.
스프링 시큐리티를 사용하면 인증 처리를 한 번에 할 수 있다.
Share article