Contents
1. SecurityConfig에서 login 설정하기
- loginProcessingUrl : security가 가지고 있는 login 만들기
우리가 “/login”을 안 만들어도 됨
- defaultSuccessUrl : 로그인 성공시 어디로 리다이렉션 할 것인지 설정
- failureUrl : 로그인 실패시 어디로 리다이렉션 할 것인지 설정
- mustache화면에서 Form태그 → /login, post 요청 → username, password를 submit
→ submit하는 순간 Security가 /login요청을 filter에서 가로챔
→ UserDetailsService에 있는 특정 메서드 호출
- 기본적으로 Security 자체가 login을 구현하고 있는 화면(특정 메서드)을 커스터 마이징 할 예정
- 이미 IoC에 UserDetailsService 등록되어있음
package shop.mtcoding.blog._core.config; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.WebSecurityCustomizer; import org.springframework.security.web.SecurityFilterChain; @Configuration// 메모리에 띄우기 위한 문법 public class SecurityConfig { // 인증과 상관없이 열어야 하는 주소 // 주소 설계를 잘해야 함 @Bean public WebSecurityCustomizer ignore(){ return w -> w.ignoring().requestMatchers("/board/*", "/static/**", "/h2-console/**"); } @Bean SecurityFilterChain configure(HttpSecurity http) throws Exception { // 주소로 필터링 : 인증이 필요한 페이지를 주소로 구분 http.authorizeHttpRequests(a -> { a.requestMatchers("/user/updateForm", "/board/**").authenticated() // 인증이 필요한 페이지 .anyRequest().permitAll(); // 인증이 필요없는 페이지 }); // 기본 주소를 우리가 만든 페이지로 변경함 http.formLogin(f -> { // security가 들고있는 페이지를 사용할 것 f.loginPage("/loginForm").loginProcessingUrl("/login").defaultSuccessUrl("/") .failureUrl("/loginForm"); // 실패하면 이동 }); return http.build(); // 코드의 변경이 없으면 부모 이름(추상적)으로 리턴할 필요 없음 } }
2. config 패키지에 Security 패키지 만들고 MyLoginService class 만들기
- UserDetailsService를 implement 해야 함
spring security 라이브러리를 적용하면
최초에 스프링이 실행될 때 UserDetailsService가 new 되서 IoC 컨테이너에 등록이 되어있음
implement해서 메서드 구현하면 메모리에 안뜸 → @Service 붙이기
@Service : 내부에 component가 있어서 component scane이 됨
MyLoginService가 new가 되서 IoC 컨테이너에 들어감
기존에 UserDetailsService와 타입을 일치시켜 덮어 씌움
→ 무력화 시키고 MyLoginService가 떠있음
/login의 post(주소) 요청하는 순간 loadUserByUsername()가 실행됨
- loadUserByUsername()의 내부 : /login해서 구현했던 내용들
username 받아서 DB에 조회해서 password랑 동일한지 비교하고 session을 만들어주면 됨
- 로그인 실패 시 로그인 진행하던걸 취소하고 알아서 응답해줌
-> 반환할 페이지를 알려줘야 함
- 조건 : post 요청, "/login"요청, x-www-form-urlencoded, 키 값 username, password
- DB에서 조회한 객체를 넣어주지 않으면 오류가 남
- org.springframework 패키지 : Spring 프레임워크 자체의 핵심 라이브러리와 클래스를 포함
스프링의 핵심 기능 및 유틸리티 클래스 등이 포함
- shop.mtcoding 패키지 : 특정 프로젝트나 응용 프로그램의 사용자 정의 패키지
프로젝트에서 정의한 사용자 클래스 또는 기타 관련 클래스를 포함
package shop.mtcoding.blog._core.config.security; import lombok.AllArgsConstructor; import org.springframework.security.core.userdetails.UserDetails; import org.springframework.security.core.userdetails.UserDetailsService; import org.springframework.security.core.userdetails.UsernameNotFoundException; import org.springframework.stereotype.Service; import shop.mtcoding.blog.user.User; import shop.mtcoding.blog.user.UserRepository; /* * 조건 * post 요청 * "/login"요청 * x-www-form-urlencoded * 키값이 username, password*/ @RequiredArgsConstructor @Service public class MyLoginService implements UserDetailsService { private final UserRepository userRepository; // DI @Override // security가 username만 줌 public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { System.out.println("loadUserByUsername: " + username); // username이 있는지 조회하기 User user = userRepository.findByUsername(username); if (user == null) { return null; // 로그인 진행하던걸 취소하고 알아서 응답해줌 -> 반환할 페이지를 알려줘야함 } else { return new MyLoginUser(user); // DB에서 조회한 객체를 넣어주지 않으면 오류가 남 } } }
3. UserRepository에 findByUsername() 만들기
1) 세션에 저장하기 위해서 UserDetail로 리턴을 받는 이유는? session에 저장하기 위함
리턴 타입이 UserDetails라 User를 리턴할 수 없음 → User를 UserDetails로 커스터 마이징 해야 함
void라면 나보고 저장하라는 이야기임 / 의도를 파악해야 함
로그인 시스템에 대한 이해가 필요함
클라이언트한테 username과 password를 받음 → DB에 조회 → 정상 : session에 담음
2) object가 아니라 UserDetails로 고정한 이유는? UserDetails 인터페이스
Object타입이면 user를 리턴 받을 수 있으나 session에 object가 저장되어 사용할 수도 있음
내가 무슨 이름으로 객체를 만들지 라이브러리를 만드는 사람은 알 수가 없음
- getUsername() : 사용자의 식별자인 사용자명
- getPassword() : 사용자의 암호화된 비밀번호
- getAuthorities() : 사용자가 가지고 있는 권한 / retuen타입 : collection
여러가지 권한을 가질 수도 있음
- isEnabled() : 사용자 계정이 활성화되었는지 여부 / 활성화 = true
- isAccountNonExpired() : 사용자 계정의 만료 여부 / 만료 = false / 법적으로 중요함
- isAccountNonLocked() : 사용자 계정의 잠김 여부 / 시도가 여러 번 있을 경우 = false
- isCredentialsNonExpired() : 사용자 계정의 자격 증명(비밀번호)의 만료 여부 / 만료 = false
보안상의 이유로 정기적으로 비밀번호를 변경해야하는 것
3) password를 안 받는 이유는?
- 우린 조회만 해서 주면 session에 넣기 직전에 getPassword() 실행
return 되는 값이랑 User객체랑 맞는지 알아서 비교해서 인증해줌
비교해서 맞으면 session이 만들어짐
package shop.mtcoding.blog.user; import jakarta.persistence.EntityManager; import jakarta.persistence.Query; import jdk.swing.interop.SwingInterOpUtils; import org.springframework.stereotype.Repository; import org.springframework.transaction.annotation.Transactional; import shop.mtcoding.blog.board.Board; import shop.mtcoding.blog.board.BoardRequest; @Repository // IoC에 new하는 방법 public class UserRepository { // DB에 접근할 수 있는 매니저 객체 // 스프링이 만들어서 IoC에 넣어둔다. // DI에서 꺼내 쓰기만 하면된다. private EntityManager em; // 컴포지션 // 생성자 주입 (DI 코드) public UserRepository(EntityManager em) { this.em = em; } @Transactional // db에 write 할때는 필수 public void save(UserRequest.JoinDTO requestDTO){ Query query = em.createNativeQuery("insert into user_tb(username, password, email, created_at) values(?,?,?, now())"); query.setParameter(1, requestDTO.getUsername()); query.setParameter(2, requestDTO.getPassword()); query.setParameter(3, requestDTO.getEmail()); query.executeUpdate(); } public User findByUsernameAndPassword(UserRequest.LoginDTO requestDTO) { Query query = em.createNativeQuery("select * from user_tb where username=? and password=?", User.class); // 알아서 매핑해줌 query.setParameter(1, requestDTO.getUsername()); query.setParameter(2, requestDTO.getPassword()); try { // 내부적으로 터지면 터지는 위치를 찾아서 내가 잡으면 됨 User user = (User) query.getSingleResult(); return user; } catch (Exception e) { return null; } } public User findByIdAndEmail(int id) { Query query = em.createNativeQuery("select username, email from user_tb where id=?"); query.setParameter(1, id); try { User user = (User) query.getSingleResult(); return user; } catch (Exception e) { return null; } } @Transactional public void userUpdate(UserRequest.UpdateDTO requestDTO, int id){ Query query = em.createNativeQuery("update user_tb set password=? where id = ?"); query.setParameter(1,requestDTO.getPassword() ); query.setParameter(2, id); query.executeUpdate(); System.out.println("query:" + query); } //security가 username만 제공 public User findByUsername(String username) { Query query = em.createNativeQuery("select * from user_tb where username=? ", User.class); // 알아서 매핑해줌 query.setParameter(1, username); try { // 내부적으로 터지면 터지는 위치를 찾아서 내가 잡으면 됨 User user = (User) query.getSingleResult(); return user; } catch (Exception e) { return null; } } }
4. MyLoginUser 클래스 만들기
- User 자체를 implement해서 UserDetails로 맞춰서 같은 타입으로 만들어 담을 수 있음
→ 강제성 부여되어 메서드들을 구현해야함
테이블인데 복잡해짐
- 세션에 저장되는 오브젝트들을 관리하는 클래스
- 클라이언트한테 받은 password와 비교하기 위해 DB에서 조회된 값이 필요함
컴포지션 해야 함 / 생성자 주입
package shop.mtcoding.blog._core.config.config; import lombok.Getter; import lombok.RequiredArgsConstructor; import org.springframework.security.core.GrantedAuthority; import org.springframework.security.core.userdetails.UserDetails; import shop.mtcoding.blog.user.User; import java.util.Collection; // 세션에 저장되는 오브젝트 @Getter @RequiredArgsConstructor public class MyLoginUser implements UserDetails { private final User user; // 컴포지션 - 결합 @Override public String getPassword() { return user.getPassword(); // DB에서 조회된 값을 넣어야함 → 컴포지션 해야 함 } @Override public String getUsername() { return user.getUsername(); // DB에서 조회된 값을 넣어야함 } @Override public boolean isAccountNonExpired() { return true; } @Override public boolean isAccountNonLocked() { return true; } @Override public boolean isCredentialsNonExpired() { return true; } @Override public boolean isEnabled() { return true; } @Override public Collection<? extends GrantedAuthority> getAuthorities() { return null; } }
5. MyLoginService에서 머스태치에서만 sessionUser가져오기
package shop.mtcoding.blog._core.config.security; import jakarta.servlet.http.HttpSession; import lombok.AllArgsConstructor; import org.springframework.security.core.userdetails.UserDetails; import org.springframework.security.core.userdetails.UserDetailsService; import org.springframework.security.core.userdetails.UsernameNotFoundException; import org.springframework.stereotype.Service; import shop.mtcoding.blog.user.User; import shop.mtcoding.blog.user.UserRepository; /* * 조건 * post 요청 * "/login"요청 * x-www-form-urlencoded * 키값이 username, password*/ @AllArgsConstructor @Service public class MyLoginService implements UserDetailsService { private final UserRepository userRepository; private final HttpSession session; @Override public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException { System.out.println("loadUserByUsername: " + username); User user = userRepository.findByUsername(username); if (user == null) { System.out.println("user는 null"); return null; // 로그인 진행하던걸 취소하고 알아서 응답해줌 -> 반환할 페이지를 알려줘야함 } else { System.out.println("user를 찾았어요"); session.setAttribute ("sessionUser", user); // 머스태치에서만 가져오기 return new MyLoginUser(user); // securityContextHolder에 저장됨 } } }
- MyLoginUser가 null이라서 오류가 남
6. 머스태치에서 사용가능한 세션 정보
- session안에 Spring Security Context가 있고 안에 Security Context 안에 Authentication이 있고
MyLoginUser(UserDetails 타입) 안에 User가 있음
@AuthenticarionPrincipal로 꺼내 사용하면 됨
Authentication authentication = SecurityContextHolder.getContext().getAuthentication(); if (authentication != null) { return (UserDetails) authentication.getPrincipal(); }
public String getUserDetails(@AuthenticationPrincipal UserDetails userDetails) { // 현재 사용자의 UserDetails를 사용하여 작업 수행 String username = userDetails.getUsername();
- 더 쉽게 하는 방법
내가 loadByUsername에서 만들어질 때
sessionUser를 만들어서 로그아웃 시 invalidate()할 때 둘 다 날리면 됨
- 다른 방법
6. Security의 장점
- 앞에서 주소로 필터링 해줌
- 로그인시 해쉬 비번 자동으로 해줌
- CSRF 인증 보안적인 것을 막아줌
7. 알아야 하는 개념
- 의존성 주입
- session
- login system
- security session의 저장 위치
8. 기존 controller에서 인증 부분 수정하기
- 주소 설계할 때 인증이 필요한 주소는 앞에 Entity이름을 안 붙임
- 실제는 AuthContoller 클래스를 따로 만들어서 인증이 필요한 모든 controller를 넣음
서버를 따로 만들어서 마이크로하게 째서 서버를 여러 개 띄움
- 인증이 필요하면 /api 붙이면 /api/**만 붙이면 됨
package shop.mtcoding.blog.user; import jakarta.servlet.http.HttpServletRequest; import jakarta.servlet.http.HttpSession; import lombok.AllArgsConstructor; import org.springframework.security.core.annotation.AuthenticationPrincipal; import org.springframework.stereotype.Controller; import org.springframework.transaction.annotation.Transactional; import org.springframework.web.bind.annotation.GetMapping; import org.springframework.web.bind.annotation.ModelAttribute; import org.springframework.web.bind.annotation.PathVariable; import org.springframework.web.bind.annotation.PostMapping; import shop.mtcoding.blog._core.config.security.MyLoginUser; import shop.mtcoding.blog.board.Board; import shop.mtcoding.blog.board.BoardRequest; @AllArgsConstructor @Controller public class UserController { // fianl 변수는 반드시 초기화 되어야 함 private final UserRepository userRepository; // null private final HttpSession session; @GetMapping("/loginForm") // view만 원함 public String loginForm() { return "user/loginForm"; } // 원래는 get요청이나 예외 post요청하면 됨 // 민감한 정보는 쿼리 스트링에 담아보낼 수 없음 //원래는 get요청이나 예외 post요청하면 됨 //민감한 정보는 쿼리 스트링에 담아보낼 수 없음 // @PostMapping("/login") // public String login(UserRequest.LoginDTO requestDTO) { // // // 1. 유효성 검사 // if (requestDTO.getUsername().length() < 3) { // return "error/400"; // } // // // 2. 모델 필요 select * from user_tb where username=? and password=? // User user = userRepository.findByUsernameAndPassword(requestDTO); // DB에 조회할때 필요하니까 데이터를 받음 // if (user == null) { // return "error/401"; // } else { // session.setAttribute("sessionUser", user); // return "redirect:/"; // } // } @GetMapping("/joinForm") // view만 원함 public String joinForm() { return "user/joinForm"; } @PostMapping("/join") public String join(UserRequest.JoinDTO requestDTO) { System.out.println(requestDTO); // 1. 유효성 검사 if (requestDTO.getUsername().length() < 3) { return "error/400"; } userRepository.save(requestDTO); // 모델에 위임하기 return "redirect:/loginForm"; //리다이렉션불러놓은게 있어서 다시부른거 } @GetMapping("/updateForm") // view만 원함 public String updateForm(HttpServletRequest request, @AuthenticationPrincipal MyLoginUser myLoginUser) { User user = userRepository.findByUsername(myLoginUser.getUsername()); request.setAttribute("user", user); return "user/updateForm"; } @PostMapping("/user/update") public String updateUser(UserRequest.UpdateDTO requestDTO, HttpServletRequest request) { // 세션에서 사용자 정보 가져오기 User sessionUser = (User) session.getAttribute("sessionUser"); if (sessionUser == null) { return "redirect:/loginForm"; // 로그인 페이지로 리다이렉트 } // 비밀번호 업데이트 userRepository.userUpdate(requestDTO, sessionUser.getId()); session.setAttribute("sessionUser", sessionUser); return "redirect:/"; // 홈 페이지로 리다이렉트 } @GetMapping("/logout") public String logout() { // 1번 서랍에 있는 uset를 삭제해야 로그아웃이 됨 session.invalidate(); // 서랍의 내용 삭제 return "redirect:/"; } }
package shop.mtcoding.blog.board; import jakarta.servlet.http.HttpServletRequest; import jakarta.servlet.http.HttpSession; import lombok.RequiredArgsConstructor; import org.springframework.security.core.Authentication; import org.springframework.security.core.annotation.AuthenticationPrincipal; import org.springframework.security.core.context.SecurityContext; import org.springframework.stereotype.Controller; import org.springframework.web.bind.annotation.*; import shop.mtcoding.blog._core.config.security.MyLoginUser; import shop.mtcoding.blog.user.User; import java.util.HashMap; import java.util.List; @RequiredArgsConstructor @Controller public class BoardController { private final HttpSession session; private final BoardRepository boardRepository; // ?title=제목1&content=내용1 // title=제목1&content=내용1 @PostMapping("/board/{id}/update") public String update(@PathVariable int id, BoardRequest.UpdateDTO requestDTO, @AuthenticationPrincipal MyLoginUser myLoginUser) { // 2. 권한 체크 Board board = boardRepository.findById(id); if (board.getUserId() != myLoginUser.getUser().getId()) { return "error/403"; } // 3. 핵심 로직 // update board_tb set title = ?, content = ? where id = ?; boardRepository.update(requestDTO, id); return "redirect:/board/" + id; } @GetMapping("/board/{id}/updateForm") public String updateForm(@PathVariable int id, HttpServletRequest request, @AuthenticationPrincipal MyLoginUser myLoginUser) { // 2. 권한 없으면 나가 // 모델 위임 (id로 board를 조회) Board board = boardRepository.findById(id); if (board.getUserId() != myLoginUser.getUser().getId()) { return "error/403"; } // 3. 가방에 담기 request.setAttribute("board", board); return "board/updateForm"; } @PostMapping("/board/{id}/delete") public String delete(@PathVariable int id, HttpServletRequest request, @AuthenticationPrincipal MyLoginUser myLoginUser) { Board board = boardRepository.findById(id); if (board.getUserId() != myLoginUser.getUser().getId()) { request.setAttribute("status", 403); request.setAttribute("msg", "게시글을 삭제할 권한이 없습니다"); return "error/40x"; } boardRepository.deleteById(id); return "redirect:/"; } @PostMapping("/board/save") public String save(BoardRequest.SaveDTO requestDTO, HttpServletRequest request, @AuthenticationPrincipal MyLoginUser myLoginUser) { // 2. 바디 데이터 확인 및 유효성 검사 System.out.println(requestDTO); if (requestDTO.getTitle().length() > 30) { request.setAttribute("status", 400); request.setAttribute("msg", "title의 길이가 30자를 초과해서는 안되요"); return "error/40x"; // BadRequest } // 3. 모델 위임 // insert into board_tb(title, content, user_id, created_at) values(?,?,?, now()); boardRepository.save(requestDTO, myLoginUser.getUser().getId()); return "redirect:/"; } @GetMapping("/") public String index(HttpServletRequest request) { List<Board> boardList = boardRepository.findAll(); request.setAttribute("boardList", boardList); return "index"; } // /board/saveForm 요청(Get)이 온다 @GetMapping("/board/saveForm") public String saveForm() { return "board/saveForm"; } @GetMapping("/board/{id}") public String detail(@PathVariable int id, HttpServletRequest request, @AuthenticationPrincipal MyLoginUser myLoginUser) { // 1. 모델 진입 - 상세보기 데이터 가져오기 BoardResponse.DetailDTO responseDTO = boardRepository.findByIdWithUser(id); boolean pageOwner; if (myLoginUser == null) { pageOwner = false; } else { int 게시글작성자번호 = responseDTO.getUserId(); int 로그인한사람의번호 = myLoginUser.getUser().getId(); pageOwner = 게시글작성자번호 == 로그인한사람의번호; } request.setAttribute("board", responseDTO); request.setAttribute("pageOwner", pageOwner); return "board/detail"; } }
Share article
