---

Spring Security?

: spring 기반의 애플리케이션의 보안(인증과 권한, 인가...)을 담당하는 스프링 하위 프레임워크

spring security에서 제공해주는 보안 솔루션을 사용하면 개발자가 관련 보안 로직을 구현할 필요가 없어진다.

인증과 권한, 인가

- 인증(Authentication)

: 해당 사용자가 본인이 맞는지 확인하는 절차

- 권한(Authorization)

: 특정 부분에 접근할 수 있는지에 대한 여부를 확인하는 절차

- 인가(Authorization)

: 인증된 사용자가 요청한 자원에 접근 가능한지 결정하는 절차

Spring Security는 기본적으로 인증 절차를 거친 뒤 인가 절차를 진행하며, 인가 과정에서 해당 리소스에 접근 권한이 있는지 확인한다.

Spring Security에서는 이러한 인증과 인가를 위해 Principal 을 아이디로, Credential 을 비밀번호로 사용하는 Credential 기반의 인증 방식을 사용한다.

principal: 접근 주체. 보호받는 리소스에 접근하는 대상
credential: 리소스에 접근하는 대상의 비밀번호

Spring Security 주요 모듈

- SecurityContextHolder

: 보안 주체의 세부 정보를 포함하여 응용 프로그램의 현재 보안 컨텍스트에 대한 세부 정보가 저장됨.

SecurityContextHolder는 기본적으로 SecurityContextHolder.MODE_INHERITABLETHREADLOCAL 방법과 SecurityContextHolder.MODE_THREADLOCAL 방법을 제공

- SecurityContext

: Authentication(인증)를 보관하는 역할

SecurityContext를 통해 Authentication 객체를 꺼내올 수 있음

- Authentication

: 현재 접근하는 주체의 정보와 권한을 담는 인터페이스

Authentication 객체는 SecurityContext에 저장되며, SecurityContextHolder를 통해 SecurityContext에 접근하고, SecurityContext를 통해 Authentication에 접근할 수 있음

- UsernamePasswordAuthenticationToken

: Authentication(인증)을 구현한 AbstractAuthenticationToken의 하위 클래스

user의 ID가 principal(접근 주체) 역할을 하고,
pw가 Credential(리소스에 접근하는 대상의 비밀번호) 역할을 함

UsernamePasswordAuthenticationToken의 첫 번째 생성자는 인증 전의 객체를 생성하고, 두 번째 생성자는 인증이 완료된 객체를 생성

- AuthenticationProvider

: 실제 인증에 대한 부분을 처리함

인증 전 Authentication(인증) 객체를 받아 인증이 완료된 객체를 반환하는 역할

AuthenticationProvider 인터페이스를 구현해 커스텀한 AuthenticationProvider를 작성해 AuthenticationManager에 등록하면 됨

- Authentication Manager

: 인증에 대한 부분은 SpringSecurity의 AuthenticationManager를 통해 처리되는데,
실질적으로 AuthenticationManager에 등록된 AuthenticationProvider에 의해 처리됨

인증에 성공하면 두 번째 생성자를 이용해 인증이 성공한 객체를 생성하여 SecurityContext에 저장.
그리고 인증 상태를 유지하기 위해 세션에 보관하며, 인증이 실패한 경우에는 AuthenticationException를 발생

- UserDetails

: 인증에 성공해 생성된 UserDetails 객체는 Authentication(인증) 객체를 구현한 UsernamePasswordAuthenticationToken을 생성하기 위해 사용됨

- UserDetailsService

: 이 인터페이스는 UserDetails 객체를 반환하는 단 하나의 메소드를 가지고 있는데,
일반적으로 이를 구현한 클래스 내부에 UserRepository를 주입받아 DB와 연결해 처리함

- Password Encoding

: AuthenticationManagerBuilder.userDetailsService().passwordEncoder()를 통해 패스워드 암호화에 사용될 PasswordEncoder 구현체를 지정할 수 있음

- GrantedAuthority

: 현재 사용자(principal)가 가진 권한

특정 자원에 대한 권한이 있는지 검사해 접근 허용 여부를 결정

왜 사용하는가?

• 모든 URL에 대한 인증을 요구
• 로그인 폼 생성, 로그아웃 처리
• CSRF 공격 방어
• Session Fixation 공격 방어
• 요청 헤더 보안
• 서블릿 API 메소드와 통합

* Session Fixation
: 공격자가 사이트에 접속해 세션 생성 후 세션 아이디를 사용자에게 전달하면, 사용자로 하여금 동일 세션 아이디를 사용해 사이트에 로그인하도록 함.

사용자가 로그인에 성공하면 공격자는 사용자와 동일한 세션을 공유할 수 있게 됨. 공격자는 이 상태에서 악의적 행위를 수행하는 것.

---

실습

프로젝트 생성

초기설정

필요한 파일

📍 build.gradle

implementation 'org.springframework.boot:spring-boot-starter-security'
implementation 'org.thymeleaf.extras:thymeleaf-extras-springsecurity5'

위 코드를 추가해주기

security: spring security 사용하기 위함
springsecurity5: view 단에서 현재 로그인 된 사용자 정보를 가져오기 위함

진행중이라 내일 중으로 마저 올리도록 하겠습니다.🙇 (21.11.02)

📍 Login

Config

: 관련 설정을 해주기 위한 파일

WebSecurityConfig.java

@RequiredArgsConstructor
@EnableWebSecurity
@Configuration
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    private final UserService userService;

    @Override
    public void configure(WebSecurity web) {
        web.ignoring().antMatchers("/css/**", "/js/**", "/img/**");
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/login", "/signup", "/user")
                .permitAll()
                .antMatchers("/")
                .hasRole("USER")
                .antMatchers("/admin")
                .hasRole("ADMIN")
                .anyRequest()
                .authenticated()
                .and()
                .formLogin()
                .loginPage("/login")
                .defaultSuccessUrl("/")
                .and()
                .logout()
                .logoutSuccessUrl("/login")
                .invalidateHttpSession(true);
    }

    @Override
    public void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userService)
                .passwordEncoder(new BCryptPasswordEncoder());
    }
}

UserEntity

UserInfo.java

@NoArgsConstructor(access = AccessLevel.PROTECTED)
@Entity
@Getter
public class UserInfo implements UserDetails {

    @Id
    @Column(name = "code")
    @GeneratedValue(strategy = GenerationType.IDENTITY)
    private Long code;

    @Column(name = "email", unique = true)
    private String email;

    @Column(name = "password")
    private String password;

    @Column(name = "auth")
    private String auth;

    @Builder
    public UserInfo(String email, String password, String auth) {
        this.email = email;
        this.password = password;
        this.auth = auth;
    }


    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        Set<GrantedAuthority> roles = new HashSet<>();

        for(String role : auth.split(",")) {
            roles.add(new SimpleGrantedAuthority(role));
        }

        return roles;
    }

    @Override
    public String getUsername() {
        return email;
    }

    @Override
    public String getPassword() {
        return password;
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }
}

UserRepository

: 사용자 엔티티를 모두 구현했으니 정보를 가져오기 위한 repository 구현하기

UserRepository.java (interface)

package SpringSecurity.FirstSpringSecurity;

import org.springframework.data.jpa.repository.JpaRepository;

import java.util.Optional;

public interface UserRepository extends JpaRepository<UserInfo, Long> {

    Optional<UserInfo> findByEmail(String email);
}

UserService

UserService.java

@RequiredArgsConstructor
@Service
public class UserService implements UserDetailsService {

    private final UserRepository userRepository;

    @Override
    public UserDetails loadUserByUsername(String email) throws UsernameNotFoundException {
        return userRepository.findByEmail(email)
                .orElseThrow(() -> new UsernameNotFoundException((email)));
    }

    public Long save(UserInfoDto infoDto) {
        BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();
        infoDto.setPassword(encoder.encode(infoDto.getPassword()));

        return userRepository.save(UserInfo.builder()
                .email(infoDto.getEmail())
                .auth(infoDto.getAuth())
                .password(infoDto.getPassword())
                .build())
                .getCode();
    }
}

📍 JOIN

UserDTO

: form으로 받을 회원 정보를 매핑시켜줄 객체 생성

UserInfoDto.java

package SpringSecurity.FirstSpringSecurity;

import lombok.Getter;
import lombok.Setter;

@Getter
@Setter
public class UserInfoDto {

    private String email;
    private String password;

    private String auth;
}

UserService 추가

UserService.java

    public Long save(UserInfoDto infoDto) {
        BCryptPasswordEncoder encoder = new BCryptPasswordEncoder();
        infoDto.setPassword(encoder.encode(infoDto.getPassword()));

        return userRepository.save(UserInfo.builder()
                .email(infoDto.getEmail())
                .auth(infoDto.getAuth())
                .password(infoDto.getPassword())
                .build())
                .getCode();
    }

Controller

UserController.java

@RequiredArgsConstructor
@Controller
public class UserController {

    private final UserService userService;

    @PostMapping("/user")
    public String signup(UserInfoDto infoDto) {
        userService.save(infoDto);

        return "redirect:/login";
    }
}

📍 LOGOUT

Controller 추가

UserController.java

    @GetMapping(value = "/logout")
    public String logoutPage(HttpServletRequest request, HttpServletResponse response) {
        new SecurityContextLogoutHandler()
                .logout(request, response, SecurityContextHolder.getContext().getAuthentication());

        return "redirect:/login";
    }

📍 +

request - view 연결

MvcConfig.java

package SpringSecurity.FirstSpringSecurity;

import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.ViewControllerRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class MvcConfig implements WebMvcConfigurer {

    public void addViewControllers(ViewControllerRegistry registry) {
        registry.addViewController("/").setViewName("main");
        registry.addViewController("/login").setViewName("login");
        registry.addViewController("/admin").setViewName("admin");
        registry.addViewController("/signup").setViewName("signup");
    }
}

📍 View 작성(html)

login.html

<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.w3.org/1999/xhtml">
<head>
  <meta charset="UTF-8">
  <title>login</title>
</head>
<body>
<h1>Login</h1> <hr>
<img src="/img/info.jpg" alt="환영 이미지" style="max-width: 500px; height: 250px"/>

<form action="/login" method="POST">
  <input type="hidden" th:name="${_csrf.parameterName}" th:value="${_csrf.token}" />
  email : <input type="text" name="username"> <br>
  password : <input type="password" name="password"> <br>
  <button type="submit">Login</button>
</form> <br>

<a href="/signup">Go to join! →</a>
</body>
</html>

signup.html

<!DOCTYPE html>
<html lang="en" xmlns:th="http://www.w3.org/1999/xhtml">
<head>
  <meta charset="UTF-8">
  <title>sign up</title>
</head>
<body>
<h1>Sign Up</h1> <hr>

<form th:action="@{/user}" method="POST">
  email : <input type="text" name="email"> <br>
  password : <input type="password" name="password"> <br>
  <input type="radio" name="auth" value="ROLE_ADMIN,ROLE_USER"> admin
  <input type="radio" name="auth" value="ROLE_USER" checked="checked"> user <br>
  <button type="submit">Join</button>
</form> <br>

<a href="/login">Go to login →</a>
</body>
</html>

main.html

<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml"
      xmlns:sec="https://www.thymeleaf.org/thymeleaf-extras-springsecurity3"
      xmlns:th="http://www.w3.org/1999/xhtml">
<head>
  <title>main</title>
</head>
<body>
<h2>회원 전용 페이지</h2>
ID : <span sec:authentication="name"></span> <br>
소유 권한 : <span sec:authentication="authorities"></span> <br>

<form id="logout" action="/logout" method="POST">
  <input type="hidden" th:name="${_csrf.parameterName}" th:value="${_csrf.token}" />
  <input type="submit" value="로그아웃"/>
</form>

</body>
</html>

admin.html

<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml" xmlns:sec="https://www.thymeleaf.org/thymeleaf-extras-springsecurity3">
<head>
  <meta charset="UTF-8">
  <title>admin</title>
</head>
<body>
<h2>관리자 전용 페이지</h2>
ID : <span sec:authentication="name"></span> <br>
소유 권한 : <span sec:authentication="authorities"></span> <br>

<form id="logout" action="/logout" method="POST">
  <input type="hidden" th:name="${_csrf.parameterName}" th:value="${_csrf.token}" />
  <input type="submit" value="로그아웃"/>
</form>
</body>
</html>

결과

재입학은 제가 넣었어요.

user로 가입해 로그인 했을 때

admin으로 로그인 했을 때

그리고 이미 회원가입 한 user@abc.com, admin@abc.com으로 가입 불가함

---

참고
실습 작성자님 감사합니다. 🙇