Security Login

9.6(금)

1. Security

👉 Sercurity에서는 일반적인 로그인처럼 db에서 id / pw를 확인하는것이 아니고, db에서는 사용자의 정보를 가져와 password Encoder를 사용하여 사용자임을 확인한다.

2. Security를 이용한 단계별 Login

2-1. security-config.xml

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
       xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
       xmlns:security="http://www.springframework.org/schema/security"
       xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd http://www.springframework.org/schema/security https://www.springframework.org/schema/security/spring-security.xsd">

    <bean name="passwordEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"></bean>
<!--security에서는 일반적인 pw를 사용하면 안되고, passwordEncoder를 사용해야함.-->
    <security:http>

        <security:form-login></security:form-login>
        <security:intercept-url
                pattern="/sample/member"
                access="hasRole('ROLE_MEMBER')"/>
      <!--sample/member의 경로를 이동하려면, ROLE_MEMBER의 권한을 가져야함-->
    </security:http>

    <security:authentication-manager>
        <security:authentication-provider> <!--인증제공을 누가할것인지-->
            <security:user-service>
                <security:user name="user1" password="$2a$12$BVs3fK5FksdaxU.X3wbQiuucJF0KpDqRMHYJkm5cGNyry7rKQGHXa" authorities="ROLE_MEMBER"></security:user>
            </security:user-service>
        </security:authentication-provider>

    </security:authentication-manager>

</beans>

👉 기본 form-login을 사용하게 되면 Spring Security에서 자동 로그인페이지를 생성하는데, /login URL을 사용하게 된다.
👉 userSerivce를 통해 사용자 인증정보를 설정한다
👉 security:user에서의 password는 사용자의 비밀번호를 정의하는데, 일반적인 비밀번호가 아닌 BCrypt 해시 알고리즘을 통해 암호화된 비밀번호를 사용해야한다. (https://bcrypt-generator.com/#google_vignette)
👉 또한 user1의 이름을 가진 user는 ROLE_MEMBER의 권한을 획득한다.

---

2-2. web.xml (추가된 코드만)

 <param-value>
            /WEB-INF/spring/root-context.xml
            /WEB-INF/spring/security-config.xml
</param-value>

 <filter>
        <filter-name>springSecurityFilterChain</filter-name>
        <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
    </filter>
    <filter-mapping>
        <filter-name>springSecurityFilterChain</filter-name>
        <url-pattern>/*</url-pattern>
   
    </filter-mapping>

👉 url-pattern으로 인해 모든 경로에 대해 spring Security보안 필터가 적용된다.

---

3-1. CustomAccessDeniedHandler

package org.zerock.w2.security.handler;

@Log4j2
public class CustomAccessDeniedHandler implements AccessDeniedHandler {

    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException accessDeniedException) throws IOException, ServletException {

        log.error("--------------------------");
        log.error(accessDeniedException);
        log.error(accessDeniedException.getMessage());


        response.sendError(
                HttpServletResponse.SC_FORBIDDEN,
                accessDeniedException.getMessage());
    }
}

👉 접근권한이 부족할때, 403상태코드와 오류메시지를 전달

---

3-2. security-config.xml (추가된 코드)

 <bean name="customAccessHandler" class="org.zerock.w2.security.handler.CustomAccessDeniedHandler"></bean>

 <security:intercept-url
                pattern="/sample/admin"
                access="hasRole('ROLE_ADMIN')"/>

 <security:access-denied-handler error-page="/error403"></security:access-denied-handler>

 <security:user name="admin1" password="$2a$12$Vjg7bECD6DNIgcXret3M1.FnQDcKGbPcgsyZmRlG/K91whhMsV3sG" authorities="ROLE_MEMBER,ROLE_ADMIN"></security:user>

👉 customAccessHandler를 정의
👉 sample/admin의 경로를 이동하기 위해서는 ROLE_ADMIN에 대한 권한을 얻어야한다.
👉 access-denied-handler태그를 통해 error403페이지로 redirect
👉 admin1의 user는 ROLE_MEMBER,ROLE_ADMIN 두가지의 권한을 가진다.

---

3-3. Error403Controller.java

package org.zerock.w2.controller;

@Controller
@Log4j2
public class Error403Controller {

    @GetMapping("/error403")
    public void error403(Authentication auth) {
        log.info(auth); // security를 적용하면, 사용자의 인증정보를 알수있다.
        log.error("error403...............");
    }
}

👉 Controller를 통해 jsp 이동

---

3-4. error403.jsp

<%@ taglib prefix="sec" uri="http://www.springframework.org/security/tags" %>
<%--
  Created by IntelliJ IDEA.
  User: USER
  Date: 2024-09-06
  Time: 오전 10:42
  To change this template use File | Settings | File Templates.
--%>
<%@ page contentType="text/html;charset=UTF-8" language="java" %>
<html>
<head>
    <title>Title</title>
</head>
<body>
    <h1>Error403 Page</h1>


<sec:authorize access="isAuthenticated()">
    인증은 되었으나, 권한이 부족합니다. 관리자에게 문의하세요
</sec:authorize>
</body>
</html>

---

4-1. security-config.xml

        <security:csrf disabled="true"></security:csrf>
        <security:form-login login-page="/customLogin" login-processing-url="/login"></security:form-login>

        <security:logout></security:logout>

👉 csrf는 매번 달라지는 토큰값을 이용하여 csrf공격을 방어할수있는데, 이러한 기능을 비활성화 하는것.
👉 security의 login 페이지를 customLogin을 기본 페이지로 설정하고, login-processing-url을 통해 사용자의 이름과 비밀번호가 제출될 url을 지정(jsp에서의 form action경로)
👉 logout에 대한 기능 추가

---

4-2. CustomLoginController.java

package org.zerock.w2.controller;

@Controller
@Log4j2
public class CustomLoginController {

    @GetMapping("/customLogin")
    public void login(String error, Model model) {
        log.info("login");

        if(error != null) {
            model.addAttribute("errorMsg", "Login failed");
        }

    }

}

👉 /customLogin 으로 이동하게되면 해당 customLogin.jsp 로 이동하게 되고, error가 발생한다면 jsp로 errormsg를 전달하게됨

---

4-3. customLogin.jsp

<html>
<head>
    <title>Title</title>
</head>
<body>

<h1>Custom Login Page</h1>

<form method="post" action="/login">
    <div>
        <input type="text" name="username">
    </div>
    <div>
        <input type="password" name="password">
    </div>
    <div>
        <button>LOGIN</button>
    </div>
</form>

</body>
</html>

👉 form의 post는 security-config.java내부의 login-processing-url="/login" 에서 수신하여 처리한다.

---

5-1. CustomUserDetailsService.java

package org.zerock.w2.security;



@Log4j2
@Service(value = "customDetails")
@RequiredArgsConstructor
public class CustomUserDetailsService implements UserDetailsService {

    private final TimeMapper timeMapper;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        log.info("----------------");
        log.info("----------------");
        log.info("loadUserByUsername: " + username);
        log.info(timeMapper.getTime());
        log.info("----------------");
        log.info("----------------");

        return null;
    }
}

👉 해당 CustomUserDetailsService 메소드는 UserDetialService의 상속관계하여 loadUserByUsername 메소드를 오버라이드 하고있다.
👉 UserDetails 데이터타입을 반환하고, username을 매개변수로 받는다.

---

5-2. security-config.xml

 xmlns:context="http://www.springframework.org/schema/context"
       xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd http://www.springframework.org/schema/security https://www.springframework.org/schema/security/spring-security.xsd http://www.springframework.org/schema/context https://www.springframework.org/schema/context/spring-context.xsd">

 <context:component-scan base-package="org.zerock.w2.security"></context:component-scan>

  <security:authentication-provider user-service-ref="customDetails"> <!--인증제공을 누가할것인지-->

👉 security:authentication-provider은 사용자 인증을 처리할 UserDetailsService를 지정하는 역할로, 지정된 CustomUserDetailsService.java는 사용자의 정보를 저조회하여 UserDetails객체를 반환하는 역할을 한다.

---

6-1. MemberMapper.java

package org.zerock.w2.mapper;

import org.apache.ibatis.annotations.Param;
import org.zerock.w2.vo.MemberVO;

public interface MemberMapper {

    void insert(MemberVO memberVO);

    void insertRole(@Param("mid") String mid, @Param("role") String role);
}

---

6-2. MemberVO.java

package org.zerock.w2.vo;

import lombok.Data;

@Data
public class MemberVO {

    private String mid;
    private String mpw;
    private String mname;
}

---

6-3. MemberMapper.xml

<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE mapper
        PUBLIC "-//mybatis.org//DTD Mapper 3.0//EN"
        "https://mybatis.org/dtd/mybatis-3-mapper.dtd">
<mapper namespace="org.zerock.w2.mapper.MemberMapper">

    <insert id="insert">
        insert into tbl_member (mid, mpw,mname)
        values (#{mid}, #{mpw}, #{mname})
    </insert>

    <insert id="insertRole">
        insert into tbl_member_role (mid, role)
        values (#{mid}, #{role})
    </insert>

</mapper>

---

6-4. MemberMapperTests.java

package org.zerock.w2.mapper;

@ExtendWith(SpringExtension.class)
@ContextConfiguration({
        "file:src/main/webapp/WEB-INF/spring/root-context.xml",
        "file:src/main/webapp/WEB-INF/spring/security-config.xml"
})
@Log4j2
public class MemberMapperTests {

    @Autowired
    private PasswordEncoder passwordEncoder;

    @Autowired(required = false) // MemberMapper에 대해서는 bean이 없기때문
    private MemberMapper memberMapper;

    @Test
    public void test1() {

        String pw = "1111";
        for(int i = 1; i <= 100; i++){

            String encodedPw = passwordEncoder.encode(pw); // 1111을 패스워드 인코더를 이용해서 해시암호화
            String mid = "user"+i;
            String mname = "USER"+i;

            List<String> roles = new ArrayList<>();
            roles.add("USER"); // 모든사용자가 user의 권한을 갖는다

            if(i>=60){
                roles.add("MANAGER"); // 60이상은 MANAGER 권한도 갖는다
            }
            if(i>=80){
                roles.add("ADMIN"); // 80이상은 ADMIN까지 3개의 권한을 갖는다.
            }

            MemberVO memberVO = new MemberVO();
            memberVO.setMid(mid);
            memberVO.setMpw(encodedPw);
            memberVO.setMname(mname);

            memberMapper.insert(memberVO);

            roles.forEach(role -> {
                memberMapper.insertRole(mid,role);
            });

        }


    }
}

👉 passwordEncoder를 주입하여 사용하고, memberMapper를 주입하는데, MemberMapper는 bean이 없더라도 사용가능하도록 required = false
👉 1111이던 pw가 passwordEncoder를 통해 해시암호화
👉 roles(user, manager, admin) 3가지로 분리되므로 i가 80이상일때 3개의 권한을 가질수있기때문에 roles는 List로 처리
👉 memberVO에 맞게 mid, pw, mname을 for내부에서 100개의 memberVO객체로 만들어서 memberMapper의 insert내부에 넣어 db에 저장
👉 roles는 3가지의 역할이 있기 때문에 forEach문을 통해서 하나의 mid에 각각의 role을 부여한다 (예 : user1 - USER , user1 - MANAGER)

---

7-1. MemberDTO.java

package org.zerock.w2.dto;

import lombok.Data;

import java.util.List;

@Data
public class MemberDTO {

    private String mid;
    private String mpw;
    private String mname;

    private List<String> roles; // 1개의 mid당 여러개의 role을 가질수있으므로
}

---

7-2. MemberMapper.java

package org.zerock.w2.mapper;

public interface MemberMapper {

    void insert(MemberVO memberVO);

    void insertRole(@Param("mid") String mid, @Param("role") String role);

    MemberDTO getMember(@Param("mid") String mid);

}

---

7-3. MemberMapper.xml

 <resultMap id="readMap" type="MemberDTO">
        <id property="mid" column="mid"></id>
        <result property="mpw" column="mpw"></result>
        <result property="mname" column="mname"></result>
        <collection property="roles" resultMap="rolesMap"></collection>
    </resultMap>

    <resultMap id="rolesMap" type="string">
        <result column="role"></result>
    </resultMap>

    <select id="getMember" resultMap="readMap">
        select m.mid, mpw, mname, role
        from
        tbl_member m inner join tbl_member_role r on r.mid = m.mid
        where
        m.mid = #{mid}
    </select>

👉 여기서 resultMap을 사용하는 이유는, MemberDTO에서 roles가 List이므로, 결국 하나의 mid에 여러개의 role이 존재하는것 때문에 이것을 한줄의 행으로 만들기 위해서는 resultMap을 사용해야한다.
👉 select를 통해서 tbl_member와 tbl_member_role을 inner join하고, resultMap을 사용한다.
👉 resultMap을 사용하기 위해서는 첫번째로 기존 sql코드에 resultMap을 선언하고 선언될 resultMap의 id를 작성 (select id="getMember" resultMap="readMap")
👉 resultMap에서 id는 pk값으로 mid가 들어가고, result는 일반적인 값이 들어가게된다. 그리고 list와 같은 값은 collection으로 사용된다.

---

7-4. MemberMapperTest.java

    @Test
    public void testGetMember(){
        String mid = "user90";

        MemberDTO memberDTO = memberMapper.getMember(mid);
        log.info(memberDTO);

👉 해당코드를 실행하게 되면 아래가 출력된다.
MemberDTO(mid=user90, mpw=2a$10b.QoIBmrVpe590.rlzzHmOvL7qc.bLvYOjCwg1LVRjlxjqQ2W6b.K, mname=USER90, roles=[USER, MANAGER, ADMIN])

---

8-1. MemberDTO.java

public class MemberDTO implements UserDetails {

    private String mid;
    private String mpw;
    private String mname;

    private List<String> roles; // 1개의 mid당 여러개의 role을 가질수있으므로

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return roles.stream().map(role -> new SimpleGrantedAuthority("ROLE_"+role)).collect(Collectors.toList());
    } // 그러면 ROLE_user , ROLE_manager, ROLE_admin 이렇게 만들어진다.

    @Override
    public String getPassword() { //pw가 뭐야
        return mpw;
    }

    @Override
    public String getUsername() { // id가 뭐야?
        return mid;
    }

    @Override
    public boolean isAccountNonExpired() { // 계정이 만료된게 아닌건지?
        return true;
    }

    @Override
    public boolean isAccountNonLocked() { // 안잠겨있는건지?
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() { // 인증정보가 만료되지 않은건지?
        return true;
    }

    @Override
    public boolean isEnabled() { // 사용할수있는지?
        return true;
    }

---

8-2. CustomUserDetailService

    private final MemberMapper  memberMapper;
    
    
        MemberDTO memberDTO = memberMapper.getMember(username);
        
        return memberDTO;

👉 결국 memberDTO를 UserDetails의 형태로 반환해주는것인데, 그러면 DTO를 UserDetail의 형태로 변환해주기위해서 8-1에서 UserDetails를 상속한것이다.

---

9-1. security-config.xml

<security:remember-me data-source-ref="dataSource" token-validity-seconds="604800"></security:remember-me>

👉 remember-me를 이용하여 세션처럼 기억하여 자동로그인 이용가능

---

9-2. customLogin.jsp

<div>
     <input type="checkbox" name="remember-me">자동로그인
</div>

---

10-1. BoardController.java

package org.zerock.w2.controller;

@Controller
@RequestMapping("/board/") // 주소가 board로 시작
@Log4j2
@RequiredArgsConstructor
public class BoardController {

    private final BoardService boardService;

    @GetMapping("register")
    public void register(Authentication authentication, Model model) {

        log.info("register");

        MemberDTO memberDTO = (MemberDTO) authentication.getPrincipal();



        log.info(memberDTO);
        // 현재사용자의 정보를 반환, authentication은 사용자의 정보제공, getPrincipal은 인증된
    }

    @PreAuthorize("principal.username == #dto.writer")
    @PostMapping("register")
    public String register(BoardRegisterDTO dto, RedirectAttributes rttr) {

        log.info(dto);

        boardService.register(dto);

        return "redirect:/board/list";
    }

    @GetMapping("list")
    public void list(PageRequest pageRequest, Model model){ //PageRequest 객체를 pg라는 이름으로사용
        // modelAttribute를 사용하면 파라미터값을 pg에 바인딩한다, page=1 , size=10과 같이
        log.info("list");
        model.addAttribute("result",boardService.getList(pageRequest));

    }

    @PreAuthorize("isAuthenticated()") // 로그인이 된 사용자만 이용할수 있도록
    @GetMapping("read/{bno}")
    public String read(@PathVariable("bno") Long bno, Model model){ // 주소창에서 (read/12) 처럼 되기 위해

        model.addAttribute("board",boardService.getOne(bno));

        return "board/read";
    }
}

👉 @PreAuthorize("principal.username == #dto.writer") 해당 어노테이션은 현재 사용중인 사용자이름과 register page에서 등록할때 필요한 속성중 writer속성과 일치할때 사용이 가능하도록 하고
👉 @PreAuthorize("isAuthenticated()") 해당 어노테이션은 로그인이 된 사용자만 이용할수 있도록 지원한다.

---

10-2. SampleController.java

package org.zerock.w2.controller;

@Controller
@RequestMapping("/sample/")
public class SampleController {

    @GetMapping("all")
    public void all(){

    }

    @PreAuthorize("hasRole('ROLE_MANAGER')")
    @GetMapping("member")
    public void member(){

    }

    @GetMapping("admin")
    public void admin(){

    }

}

👉 @PreAuthorize("hasRole('ROLE_MANAGER')") 해당 어노테이션을 사용하여 ROLE_MANAGER의 권한을 갖고있는 사용자만 접근할수있도록 하고

---

10-3. security-config.xml

        <security:intercept-url
                pattern="/sample/member"
                access="hasRole('ROLE_MANAGER')"/> <!--ROLE_ 는 키워드 접두사로 변경 X-->

        <security:intercept-url
                pattern="/sample/admin"
                access="hasRole('ROLE_ADMIN')"/>

👉 기존에 사용하던 xml내부의 security:intercept태그는 제거가 가능하다.

---

10-4. servlet-context.xml

xmlns:security="http://www.springframework.org/schema/security"
       xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd http://www.springframework.org/schema/context https://www.springframework.org/schema/context/spring-context.xsd http://www.springframework.org/schema/mvc https://www.springframework.org/schema/mvc/spring-mvc.xsd http://www.springframework.org/schema/security https://www.springframework.org/schema/security/spring-security.xsd">
       
<security:global-method-security pre-post-annotations="enabled" secured-annotations="enabled">
    </security:global-method-security>

👉 두가지의 코드를 추가하여, @PreAuthorize, @PostAuthorize 와 같은 어노테이션 사용을 활성화 시킨다.

---

11. DB설계

create table tbl_member (
                            mid varchar(100) not null,
                            mpw varchar(100) not null,
                            mname varchar(100) not null
);

alter table tbl_member add constraint pk_member primary key (mid);

create table tbl_member_role (
                                 mid varchar(100) not null,
                                 role varchar(50) not null
);

alter table tbl_member_role
    add constraint fk_member foreign key (mid)
        references tbl_member(mid)
;


CREATE TABLE persistent_logins (
                                   username VARCHAR(64) NOT NULL, -- 로그인한 사용자의 이름
                                   series VARCHAR(64) PRIMARY KEY, -- 토큰의 시리즈 (고유 식별자)
                                   token VARCHAR(64) NOT NULL, -- 실제 토큰 값
                                   last_used TIMESTAMP NOT NULL -- 마지막으로 사용된 시점
);