Spring - Boot - Security

9.13 (금)

1. Spring-Boot Security

1-1. build

implementation 'org.springframework.boot:spring-boot-starter-security'
implementation 'org.thymeleaf.extras:thymeleaf-extras-springsecurity6:3.1.2.RELEASE'

---

1-2. application.yml

logging:
  level:
    com.zaxxer: info
    org.springframework.jdbc: info
    org.springframework.security: trace
    org:
      apache:
        ibatis: debug
        
      

---

1-3. CustomSecurityConfig.java

package org.demo.springdemo.board.config;

@Configuration
@Log4j2
@EnableMethodSecurity(prePostEnabled = true)
public class CustomSecurityConfig {

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {

        log.info("filterChain..............");

        http.formLogin(config -> {

        });

        http.csrf(config -> {config.disable();});

        return http.build();
    }
}

👉 EnableMethodSecurity은 controller에서 해당 권한이 있을때 사용할수있도록 사용하는 @PreAuthorize, @PostAuthorize 어노테이션들을 활성화하는 어노테이션이다.

👉 password를 Encodeing해야하므로 @bean을 통해 정의하고, http://localhost:8080/login에 접근할수있도록 http.formLogin(config) 설정한다.

👉 보안을 위해 변경되는 csrf토큰은 disable로 비활성화시킨다.

---

1-4. CustomUserDetailsService.java

package org.demo.springdemo.board.security;

@Component
@Log4j2
public class CustomUserDetailsService implements UserDetailsService {


    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {


        log.info("userName: "+ username);

        UserDetails userDetails = User.builder()
                .username(username)
                .password("$2a$12$vt3AQj71d1s4j4YAe5JkjeHHVrmZli0g.hjEqnfziBJcV7MUHcM8i")
                .authorities("ROLE_USER")
                .build();

        return userDetails;
    }
}

👉 해당 클래스는 UserDetailsService를 인터페이스하고있으므로 관련 추상메소드를 상속하는데, UserDetails 의 데이터타입으로된 객체를 builder로 생성하여 username, password, authorities를 구조화한다.

👉 username은 정해진 규칙이 없고, password는 인코딩을 통한 해시함수로 11, authorities는 권한이다.

📌 userService 인터페이스의 구성

---

1-5. BoardController.java

package org.demo.springdemo.board.controller;

@Controller
@RequestMapping("/board")
@Log4j2
@RequiredArgsConstructor
public class BoardController {

    private final UploadUtil uploadUtil;

    private final BoardService boardService;

    @PreAuthorize("hasRole('ROLE_USER')")
    @GetMapping("/register")
    public void register(){

    }

    @PreAuthorize("hasRole('ROLE_USER')")
    @PostMapping("/register")
    public String register(BoardRegisterDTO boardRegisterDTO, RedirectAttributes rttr){

        log.info("register: "+ boardRegisterDTO);

        List<String> uploadedFileNames = uploadUtil.upload(boardRegisterDTO.getImages());

        boardRegisterDTO.setFileNames(uploadedFileNames);

        boardService.register(boardRegisterDTO);

        rttr.addFlashAttribute("bno", boardRegisterDTO.getBno());

        return "redirect:/board/list";
    }

    @PreAuthorize("permitAll()")
    @GetMapping("/list")
    public void list(PageRequest pageRequest, Model model) {

        model.addAttribute("result", boardService.list(pageRequest));
    }

    @PreAuthorize("isAuthenticated()") // 로그인 된 사용자만 사용가능
    @GetMapping("/read/{bno}")
    public String read(@CookieValue("view")String viewValue, @PathVariable("bno") Long bno, Model model) {

        log.info("Reading board: "+bno);
        log.info("viewValue: "+viewValue);


        boolean existed = false;

        if(viewValue != null){
            existed = Arrays.stream(viewValue.split("%")).anyMatch(str -> str.equals(bno+""));
        }

        if(!existed) {

            log.info("View Count... update........................");

        }

        Optional<BoardReadDTO> result = boardService.get(bno);

        BoardReadDTO boardReadDTO = result.orElseThrow();

        model.addAttribute("board", boardReadDTO);

        return "/board/read";
    }
  
}

👉 PreAuthorize를 통해 register페이지를 사용하기 위해서는 ROLE_USER의 권한이 있을때 사용가능하고, list페이지를 방문하는건 모든 사용자가 가능하도록, 게시물을 읽는 페이지는 로그인된 사용자만 사용가능하도록 권한을 부여한다.

---

1-6. register.html

<!DOCTYPE html>
<html xmlns:layout="http://www.ultraq.net.nz/thymeleaf/layout"
      layout:decorate="~{layout/basicLayout.html}">

<div layout:fragment="content">

<h1>Board Register</h1>

    <form id="form1"  method="post" enctype="multipart/form-data"> <!--폼 데이터가 여러 부분으로 나뉘어 전송 / 파일전송시 필수-->

    <input type="text" name="title" >

    <input type="text" name="content" >

    <input type="text" name="writer"  th:value="${#authentication.principal.username}" readonly>

    <input type="text" name="tag" >

    <input type="file" name="images" multiple>

        <button class="submitBtn">CLICK</button>

    </form>
</div>


<script th:inline="javascript" layout:fragment="script">

    const auth = [[ ${#authentication.principal} ]] //사용자의 정보

    console.log(auth)



    const form1 = document.querySelector("#form1")

    document.querySelector(".submitBtn").addEventListener("click",e=>{

        e.preventDefault();

        form1.submit();

        form1.reset();

    },false)



</script>

👉 해당 register페이지에서는 로그인페이지에서 로그인한 username을 값으로 가져와서 username에 고정 value값으로 만든다.

👉 script태그에서 auth라는 변수에 ${#authentication.principal} 를 통해 로그인한 user정보객체를 가져오고, value값에는 ${#authentication.principal.username} 해당 값을 사용한다.

---

1-7. RememberMe

CustomSecurityConfig.java

package org.demo.springdemo.board.config;


@Configuration
@Log4j2
@EnableMethodSecurity(prePostEnabled = true)
@RequiredArgsConstructor
public class CustomSecurityConfig {

    private final DataSource dataSource; // JDBC에서 DB연결을 위한 인터페이스, application.yml의 datasource의 값

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {

        log.info("filterChain..............");

        http.formLogin(config -> {

        });

        http.csrf(config -> {config.disable();});

        http.rememberMe(config -> {
            config.tokenValiditySeconds(60*60*24*30);
            config.tokenRepository(persistentTokenRepository());
        });
        
         http.logout(config -> { // logout // http://localhost:8080/logout

        });

        return http.build();
    }
    
    @Bean
    public PersistentTokenRepository persistentTokenRepository() {
        
        JdbcTokenRepositoryImpl repo = new JdbcTokenRepositoryImpl();
        repo.setDataSource(dataSource);
        return repo;
    }
}

👉 Datasource를 주입받아서 사용하는데, 이는 jdbc와 연결하는데 필요하다.
👉 rememberMe를 통해서 세션과 같은 개념으로 로그인기록은 기억하도록 한다.

👉 PersistentTokenRepository 통해 로그인한 기록을 db에 기록하도록한다.

👉 logout 로그아웃의 기능을 추가한다.

---

2. KakaoLogin

👉 만들어놓은 계정에서, 로그인 on을 해놓고

👉 닉네임과 프로필사진은 동의가 가능한데, 이메일은 불가능해져있다. 개인정보동의 심사신청에서 앱아이콘등록하여 파일사진선택후-> 비즈앱 -> 개인개발자 비즈앱전환 - 이메일필수동의 전환

👉 플랫폼에서 하단 도메인을 추가 및 수정해주기
👉 하단에 redirect url 설정 들어가서 활성화

👉 url 복사해놓기

👉 보안키 복사

👉 (Rest Key) 복사

2-0. gradle 추가

implementation 'org.springframework.boot:spring-boot-starter-oauth2-client'

2-1. CustomSecurityConfig 추가

 http.oauth2Login(config -> { // kakaoLogin

        });

2-2. application.yml 추가

spring:
  application:
    name: springDemo
  datasource:
    driver-class-name: org.mariadb.jdbc.Driver
    username: malldbuser
    password: malldbuser
    url: jdbc:mariadb://localhost:3306/malldb

    hikari:
      minimum-idle: 1
      maximum-pool-size: 5
      connection-timeout: 10000

  thymeleaf:
    cache: false

  servlet:
    multipart:
      enabled: true
      location: C:\\upload
      max-file-size: 2MB
      max-request-size: 20MB
  security:
    oauth2:
      client:
        registration:
          kakao:
            client-id: #Rest key
            redirect-uri: http://localhost:8080/login/oauth2/code/kakao
            client-authentication-method: client_secret_post
            authorization-grant-type: authorization_code
            scope: profile_nickname, account_email, profile_image
            client-name: Kakao
            client-secret: #보안 key
        provider:
          kakao:
            authorization-uri: https://kauth.kakao.com/oauth/authorize
            token-uri: https://kauth.kakao.com/oauth/token
            user-info-uri: https://kapi.kakao.com/v2/user/me
            user-name-attribute: id

logging:
  level:
    com.zaxxer: info
    org.springframework.jdbc: info
    org.springframework.security: trace
    org:
      apache:
        ibatis: debug


mybatis:
  mapper-locations: classpath:mapper/**/*.xml
  type-aliases-package: org.demo.springdemo.**.dto
  configuration:
    log-impl: org.apache.ibatis.logging.stdout.StdOutImpl

board:
  upload: C:\\upload\\attach

2-3. SocialUserService

package org.demo.springdemo.board.security;

@Component
@Log4j2
@RequiredArgsConstructor
public class SocialUserService implements OAuth2UserService {


    @Override
    public OAuth2User loadUser(OAuth2UserRequest userRequest) throws OAuth2AuthenticationException {

        log.info("---------------");
        log.info("---------------");
        log.info(userRequest);
        log.info("---------------");
        log.info("---------------");

        return null;
    }
}

👉 kakao 들어가서 로그인하면

👉 해당오류발생

---

2-4. SocialUserService edit

package org.demo.springdemo.board.security;



@Component
@Log4j2
@RequiredArgsConstructor
public class SocialUserService  extends DefaultOAuth2UserService {


    @Override
    public OAuth2User loadUser(OAuth2UserRequest userRequest) throws OAuth2AuthenticationException {

        log.info("---------------");
        log.info("---------------");
        log.info(userRequest);

        String serviceName = userRequest.getClientRegistration().getClientName();

        OAuth2User oAuth2User = super.loadUser(userRequest);

        java.util.Map<String, Object> paramMap = oAuth2User.getAttributes();

        paramMap.forEach((k,v) -> {
            log.info("key: "+k+" value: "+v);
        });

        log.info(serviceName); // kakao

        LinkedHashMap accountMap = (LinkedHashMap) paramMap.get("account");

        String email = (String) accountMap.get("email");

        log.info(email);

        return oAuth2User;
    }
}

👉 servicename은 userRequest에서 클라이언트 등록정보를 가져오고, getClientName으로 인증서비스 이름인 kakao를 가져온다.
👉 loaduser메소드를 호출하여 OAuth2사용자의 정보를 로드하고, OAuth2객체에서 사용자 속성을 map의 형태인 키와 값의 형태로 가져온다.

👉 그 속성중에 account에 해당하는 값을 LinkedHashMap으로 캐스팅하여 할당하고, email또한 같은 방법으로 할당한다.

2-5. MemberDTO

package org.demo.springdemo.board.dto;

@Data
public class MemberDTO implements UserDetails, OAuth2User {

    private String mid;
    private String mpw;
    private String mname;

    private List<String> roles;

    private Map<String, Object> props; // 사용자정보의 속성을 저장

    @Override
    public Map<String, Object> getAttributes() {  // 사용자의 속성의 정보를 반환하는데 사용되는 메소드
        return props;
    }

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return roles.stream().map(role -> new SimpleGrantedAuthority("ROLE_"+role)).collect(Collectors.toList());
    }

    @Override
    public String getPassword() {
        return mpw;
    }

    @Override
    public String getUsername() {
        return mid;
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }

    @Override
    public String getName() {
        return this.mid;
    }
}

👉 DTO에서는 props를 만들어 map인 키와값의 형태로 변수를 정의하고, getAttribute를 통해서 사용자의 속성의 정보를 반환하는데 사용되는 메소드를 정의한다.

---

2-6. CustomUserDetailsService.java

package org.demo.springdemo.board.security;

@Component
@Log4j2
public class CustomUserDetailsService implements UserDetailsService {


    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {


        log.info("userName: "+ username);

        MemberDTO memberDTO = new MemberDTO();
        memberDTO.setMid(username);
        memberDTO.setMpw("$2a$12$vt3AQj71d1s4j4YAe5JkjeHHVrmZli0g.hjEqnfziBJcV7MUHcM8i");
        memberDTO.setRoles(List.of("USER"));

        return memberDTO;
    }
}

👉 해당 CustomLogin은 일반적인 Login을 구현하여 만들었다.

---

2-7. SocialUserService.java

package org.demo.springdemo.board.security;

@Component
@Log4j2
@RequiredArgsConstructor
public class SocialUserService  extends DefaultOAuth2UserService {


    @Override
    public OAuth2User loadUser(OAuth2UserRequest userRequest) throws OAuth2AuthenticationException {

        log.info("---------------");
        log.info("---------------");
        log.info(userRequest);

        String serviceName = userRequest.getClientRegistration().getClientName();

        OAuth2User oAuth2User = super.loadUser(userRequest);

        java.util.Map<String, Object> paramMap = oAuth2User.getAttributes();

        paramMap.forEach((k,v) -> {
            log.info("key: "+k+" value: "+v);
        });

        log.info(serviceName); // kakao

        LinkedHashMap accountMap = (LinkedHashMap) paramMap.get("account");

        String email = (String) accountMap.get("email");

        log.info(email);

        MemberDTO memberDTO = new MemberDTO();
        memberDTO.setMid(email);
        memberDTO.setMpw("$2a$12$vt3AQj71d1s4j4YAe5JkjeHHVrmZli0g.hjEqnfziBJcV7MUHcM8i");
        memberDTO.setRoles(List.of("USER"));
        memberDTO.setProps(paramMap);

        return oAuth2User;
    }
}

👉 해당코드는 kakao와 같은 socailLogin방식을 위해 작성되었다.