.png)
스프링 시큐리티와 스프링 시큐리티 Oauth2
- 직접 로그인 서비스를 구현하려면 배보다 배꼽이 커지는 경우가 생긴다.
- 구글 서비스, 네이버 서비스를 통해 oauth를 구현한다.
구글 OAuth 인증
구글 서비스 등록
- 구글 크라우드 플랫폼 에서 구글 서비스에 신규 서비스를 생성한다.
- 생성방법은 구글링한다.
application-oauth.yml 등록
- scope=profile,email
- scope을 기본값 openid,profile,email에서 profile,email만 등록한다.
- openid라는 scope이 있다면 Open Id Provider으로 인식하기 때문이다.
- 결국 구글(OpenId Provider인 서비스)과 그 외의 서비스(네이버,카카오 등)로 나눠서 OAuth2Service를 만들어야한다.
- 하나의 OAuth2Service를 사용하기위해 openid를 scope에서 제외한다.
- openid라는 scope이 있다면 Open Id Provider으로 인식하기 때문이다.
- scope을 기본값 openid,profile,email에서 profile,email만 등록한다.
- yml또는 properties파일의 이름을 application-xxx으로 만들면 profile이 생성된다.
- 생성된 profile을 통해 관리가 가능하다
profile: xxx으로 application-xxx.yml의 설정들을 가져올 수 있다.
- 이처럼 application-oauth.yml 파일을 포함한다.
- 생성된 profile을 통해 관리가 가능하다
- application-oauth.yml 파일은 보안이 중요한 정보(클라이언트 ID, 보안 비밀)를 담고 있기때문에 .gitignore 파일에 추가하여 깃허브에 올라가는 것을 방지해야한다.
- .gitignore에 해당 파일을 추가한뒤 커밋하였을 때, 커밋 파일 목록에 application-oauth.yml 파일이 나오지 않으면 성공이다.
- 그럼에도 불구하고 나오는 경우는 아래의 명령어를 입력하여 git의 캐시를 삭제후 다시 add한다.
- 참고
git rm -r --cached . git add . git commit -m "fixed untracked files"
- .gitignore에 해당 파일을 추가한뒤 커밋하였을 때, 커밋 파일 목록에 application-oauth.yml 파일이 나오지 않으면 성공이다.
구글 로그인 연동하기
- User 클래스를 생성한다
@Getter
@NoArgsConstructor
@Entity
public class User extends BaseTimeEntity {
@Id
@GeneratedValue(strategy = GenerationType.IDENTITY)
private Long id;
@Column(nullable = false)
private String name;
@Column(nullable = false)
private String email;
@Column
private String picture;
@Enumerated(EnumType.STRING)
@Column(nullable = false)
private Role role;
@Builder
public User(String name, String email, String picture, Role role) {
this.name = name;
this.email = email;
this.picture = picture;
this.role = role;
}
public User update(String name, String picture) {
this.name = name;
this.picture = picture;
return this;
}
public String getRoleKey() {
return this.role.getKey();
}
}-
@Enumerated(EnumType.STRING)
- JPA로 데이터베이스로 저자알 경우, ENUM 값을 String 형태로 저장한다.
- 기본적으로는 int 형태로 저장된다.
-
ENUM 클래스인 Role을 생성한다.
@Getter
@RequiredArgsConstructor
public enum Role {
GUEST("ROLE_GUEST","손님"),
USER("ROLE_USER","일반 사용자");
private final String key;
private final String title;
}- UserRepository 인터페이스도 생성한다
public interface UserRepository extends JpaRepository<User,Long> {
Optional<User> findByEmail(String email);
}- findByEmail 메소드
- 소셜 로그인으로 반환되는 값중에서 email을 통해 이미 생성된 사용자인지 확인하기 위한 메소드이다.
스프링 시큐리티 설정하기
- 먼저 build.gradle에 스프링 시큐리티 관련 의존성을 추가한다.
dependencies {
// oauth2
compile('org.springframework.boot:spring-boot-starter-oauth2-client')
}- spring-boot-starter-oauth2-client
- 클라이언트 입장에서 소셜 기능 구현시 필요한 의존성이다.
- spring-security-oauth2-client와 spring-security-oauth2-jose를 기본으로 관리해준다.
- 이제 config.auth 패키지를 생성하여 시큐리티 관련 클래스를 만들어야한다.
- SecurityConfig, CustomOAuth2UserService, OAuthAttributes, SessionUser 클래스를 만든다.
@RequiredArgsConstructor
// @EnableWebSecurity
// spring security 설정들을 활성화시켜준다.
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
private final CustomOAuth2UserService customOAuth2UserService;
// .csrf().disable().headers().frameOptions().disable()
// he-console 화면을 사용하기 위해서 해당 옵션들을 disable 한다.
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.csrf().disable()
.headers().frameOptions().disable()
.and()
// authorizeRequests
// URL별 권한 관리를 설정하는 옵션의 시작점이다. authorizeRequests가 선언되어야만 antMatchers 옵션을 사용할 수 있다.
.authorizeRequests()
// antMatchers
// 권한 관리 대상을 지정하는 옵션이다.
// URL, HTTP 메소드별로 관리가 가능하다. 지정된 URL들은 permitAll() 옵션을 통해 전체 열람 관한을 준다.
.antMatchers("/","/css/**","/images/**","/js/**","/h2-console?**").permitAll()
// "/api/v1/**" 주소를 가진 API는 USER 권한을 가진 사람만 가능하도록 한다.
.antMatchers("/api/v1/**").hasRole(Role.USER.name())
// anyRequest
// 설정된 값 이외의 나머지 URL들을 나타낸다. authenticated()를 추가하여 나머지 URL들은 모두 인증된 사용자들(로그인한 사용자들)에게만 허용한다.
.anyRequest().authenticated()
.and()
// .logout().logoutSuccessUrl("/")
// 로그아웃 기능에 대한 여러 설정의 진입점이다. 로그아웃 성공시 "/" 주소로 이동한다.
.logout()
.logoutSuccessUrl("/")
.and()
// oauth2Login
// OAuth 2 로그인 기능에 대한 여러 설정의 진입점이다.
.oauth2Login()
// userInfoEndpoint
// OAuth 2 로그인 성공 이후 사용자 정보를 가져올 떄의 설정들을 담당한다.
.userInfoEndpoint()
// userService
// 소셜 로그인 성공시 후속 조치를 진행할 UserService 인터페이스의 구현체를 등록한다.
// 리소스 서버(소셜 서비스들)에서 사용자 정보를 가져온 상태에서 추가로 진행하고자하는 기능을 명시할 수 있다.
.userService(customOAuth2UserService);
}
}@RequiredArgsConstructor
@Service
public class CustomOAuth2UserService implements OAuth2UserService<OAuth2UserRequest, OAuth2User> {
private final UserRepository userRepository;
private final HttpSession httpSession;
@Override
public OAuth2User loadUser(OAuth2UserRequest userRequest) throws OAuth2AuthenticationException {
OAuth2UserService<OAuth2UserRequest,OAuth2User> delegate = new DefaultOAuth2UserService();
OAuth2User oAuth2User = delegate.loadUser(userRequest);
// registrationId
// 햔재 로그인 진행 중인 서비스를 구분하는 코드
// 네이버 로그인인지, 구글 로그인인지 구분하기위해 사용한다.
String registrationId = userRequest.getClientRegistration().getRegistrationId();
// userNameAttributeName
// OAuth2 로그인 진행 시 키가 되는 필드값을 말한다. PK와 같은 의미이다.
// 구글의 경우 기본적으로 코드를 지원한다. 구글의 기본 코드는 "sub"이다. (네이버, 카카오 등은 기본 지원하지 않는다.)
String userNameAttributeName = userRequest.getClientRegistration().getProviderDetails()
.getUserInfoEndpoint().getUserNameAttributeName();
// OAuthAttributes
// OAuth2UserService를 통해 가져온 OAuth2User의 attributes를 담을 클래스이다.
// 다른 소셜 로그인도 이 클래스를 사용한다.
OAuthAttributes attributes = OAuthAttributes.of(registrationId,userNameAttributeName,oAuth2User.getAttributes());
// SessionUser
// 세션에 사용자 정보를 저장하기 위한 따로 만든 Dto 클래스이다.
User user = saveOrUpdate(attributes);
httpSession.setAttribute("user", new SessionUser(user));
return new DefaultOAuth2User(
Collections.singleton(new SimpleGrantedAuthority(user.getRoleKey())),
attributes.getAttributes(),
attributes.getNameAttributeKey()
);
}
private User saveOrUpdate(OAuthAttributes attributes) {
User user = userRepository.findByEmail(attributes.getEmail())
.map(entity -> entity.update(attributes.getName(), attributes.getPicture()))
.orElse(attributes.toEntity());
return userRepository.save(user);
}
}- CustomOAuth2UserService클래스는 구글 로그인 이후 가져온 사용자의 정보(email,name,picture)를 기반으로 가입/정보수정/세션저장등의 기능을 지원한다.
@Getter
public class OAuthAttributes {
private Map<String,Object> attributes;
private String nameAttributeKey;
private String name;
private String email;
private String picture;
@Builder
public OAuthAttributes(Map<String, Object> attributes, String nameAttributeKey, String name, String email, String picture) {
this.attributes = attributes;
this.nameAttributeKey = nameAttributeKey;
this.name = name;
this.email = email;
this.picture = picture;
}
// of()
// OAuth2User 에서 반환하는 사용자 정보는 Map이므로 값 하나하나를 변환해야 한다.
public static OAuthAttributes of(String registrationId, String userNameAttributeName,
Map<String ,Object> attributes) {
if ("naver".equals(registrationId)) {
return ofNaver("id",attributes);
}
return ofGoogle(userNameAttributeName,attributes);
}
private static OAuthAttributes ofGoogle(String userNameAttributeName,Map<String ,Object> attributes){
return OAuthAttributes.builder()
.name((String) attributes.get("name"))
.email((String) attributes.get("email"))
.picture((String) attributes.get("picture"))
.attributes(attributes)
.nameAttributeKey(userNameAttributeName)
.build();
}
private static OAuthAttributes ofNaver(String userNameAttributeName, Map<String,Object> attributes) {
Map<String,Object> response = (Map<String, Object>) attributes.get("response");
return OAuthAttributes.builder()
.name((String) response.get("name"))
.email((String) response.get("email"))
.picture((String) response.get("profile_image"))
.attributes(response)
.nameAttributeKey(userNameAttributeName)
.build();
}
// toEntity()
// User 엔티티를 생성한다.
// OAuthAttributes 에서 엔티티를 생성하는 시점 == 처음 가입할 때
// 가입할 떄의 기본 권한을 GUEST로 주기 위해서 role 빌더 값에는 Role.GUEST를 설정한다.
public User toEntity() {
return User.builder()
.name(name)
.email(email)
.picture(picture)
.role(Role.GUEST)
.build();
}
}- toEntity()
- 가입할 떄의 기본 권한을 GUEST로 주기 위해서 role 빌더 값에는 Role.GUEST를 설정하므로 처음 로그인하면 글쓰기 권한이 없으므로 글을 쓸 수 없다.
// SessionUser 에는 인증된 사용자 정보만 필요하다.
// 그 외의 정보는 필요 없으니 name, email, picture만 필드로 선언한다.
@Getter
public class SessionUser implements Serializable {
private String name;
private String email;
private String picture;
@Builder
public SessionUser(User user) {
this.name = user.getName();
this.email = user.getEmail();
this.picture = user.getPicture();
}
}- SessionUser 대신 User 클래스를 사용하면 직렬화 관련 에러가 발생한다.
- 그렇다고 해서 User 클래스에 Serializable를 implements해주면 안된다
- User 클래스는 엔티티 클래스이므로 다른 엔티티와 관계가 형성될 수 있다.
- User 클래스가 자식 엔티티를 갖고 있다면 직렬화 대상에 자식들까지 포함된다. 이는 성능 이슈, 부수 효과가 발생한다.
- 이러한 이유로 인해 직렬화 기능을 갖은 세션 Dto를 하나 추가로 만드는게 유지보수에 도움이 된다.
로그인 테스트 화면
- index.mustache 파일
<!--로그인 기능 영역-->
{{#userName}}
Logged in as : <span id="user">{{userName}}</span>
<a href="/logout" class="btn btn-info active" role="button">Logout</a>
{{/userName}}
{{^userName}}
<a href="/oauth2/authorization/google" class="btn btn-success active" role="button">Google Login</a>
<a href="/oauth2/authorization/naver" class="btn btn-secondary active" role="button">Naver Login</a>
{{/userName}}-
a href="/logout"
- 스프링 시큐리티에서 기본적으로 제공하는 로그아웃 URL이다
- 개발자가 별도로 logout URL에 해당하는 컨트롤러를 만들 필요가 없다
-
a href="/oauth2/authorization/google"
- 스프링 시큐리티에서 기본적으로 제공하는 로그인 URL이다.
- 마찬가지로 별도의 컨트롤러를 만들 필요가 없다.
-
IndexController 클래스
@RequiredArgsConstructor
@Controller
public class IndexController {
private final PostsService postsService;
private final HttpSession httpSession;
// Model 객체
// 서버 탬플릿 엔진에서 사용가능한 객체를 저장할 수 있다.
// 해당 메소드에서는 postsService.findAllDesc()로 가져온 결과를 posts라는 이름으로 index.mustache에 전달한다.
@GetMapping("/")
public String index(Model model) {
model.addAttribute("posts", postsService.findAllDesc());
SessionUser user = (SessionUser) httpSession.getAttribute("user");
// 세션에 저장된 값이 있을 경우만 model에 userName으로 등록한다.
if (user != null) {
model.addAttribute("userName",user.getName());
}
return "index";
}
}- SessionUser user = (SessionUser) httpSession.getAttribute("user");
- 이부분은 세션값을 가져오는 부부이다.
- index() 메소드 이외의 컨트롤러에서 세션값이 필요하면 그때마다 직접ㅂ 세션에서 값을 가져와야할것이다.
- 같은 코드가 계속 반복된다
- 메소드의 파라미터로 세션값을 바로 받을 수 있도록 코드를 개선해야한다 (어노테이션 기반으로 개선하기)
- 같은 코드가 계속 반복된다
어노테이션 기반으로 개선하기
- LoginUser 어노테이션 클래스, LoginUserArgumentResolver 클래스
// @Target(ElementType.PARAMETER)
// 해당 어노테이션이 생성될 수 있는 위치를 지정한다.
// PARAMETER로 지정했으므로 메소드의 파라미터로 선언된 객체에서만 사용가능하다.
@Target(ElementType.PARAMETER)
@Retention(RetentionPolicy.RUNTIME)
// @interface
// 이 파일을 어노테이션 클래스로 지정한다.
public @interface LoginUser {
}@RequiredArgsConstructor
@Component
// LoginUserArgumentResolver가 스프링에서 인식될 수 있도록 WebMvcConfigurer 에 추가한다.
// WebConfig 클래스를 생성하여 추가한다.
public class LoginUserArgumentResolver implements HandlerMethodArgumentResolver {
private final HttpSession httpSession;
// supportsParameter()
// 컨트롤러 메소드의 특정 파라미터를 지원하는지 판단한다.
// parameter에 @LoginUser 어노테이션이 붙어있고, 파라미터 클래스 타입이 SessionUser.class 인 경우만 true를 반환한다.
@Override
public boolean supportsParameter(MethodParameter parameter) {
boolean isLoginUserAnnotation = parameter.getParameterAnnotation(LoginUser.class) != null;
boolean isUserClass = SessionUser.class.equals(parameter.getParameterType());
return isUserClass && isLoginUserAnnotation;
}
// resolveArgument()
// 파라미터에 전달할 객체를 생성한다.
// 여기서는 세션에서 객체를 가져온다.
@Override
public Object resolveArgument(MethodParameter parameter,
ModelAndViewContainer mavContainer,
NativeWebRequest webRequest,
WebDataBinderFactory binderFactory) throws Exception {
return httpSession.getAttribute("user");
}
}-
- HttpSession 인터페이스는 둘 이상의 page request에서 사용자를 식별하거나, 웹 사이트를 방문하고 해당 사용자에 대한 정보를 저장하는 방법을 제공한다.
- httpSession.getAttribute("user");
- "user"라는 key로 바인딩된 세션을 반환한다. 만약 없다면 null을 반환한다.
-
개선된 결과
@RequiredArgsConstructor
@Controller
public class IndexController {
private final PostsService postsService;
private final HttpSession httpSession;
// Model 객체
// 서버 탬플릿 엔진에서 사용가능한 객체를 저장할 수 있다.
// 해당 메소드에서는 postsService.findAllDesc()로 가져온 결과를 posts라는 이름으로 index.mustache에 전달한다.
@GetMapping("/")
public String index(Model model, @LoginUser SessionUser user) {
model.addAttribute("posts", postsService.findAllDesc());
// 세션에 저장된 값이 있을 경우만 model에 userName으로 등록한다.
if (user != null) {
model.addAttribute("userName",user.getName());
}
return "index";
}
}- index() 메소드에 @LoginUser 어노테이션이 붙은 SessionUser 객체를 파라미터로 설정하여
SessionUser user = (SessionUser) httpSession.getAttribute("user");코드의 중복을 개선하였다.
데이터베이스를 세션 저장소로 사용하기
- build.gradle에 spring-session-jdbc를 위한 의존성을 등록한다.
dependencies {
// JPA 가 자동으로 세션 저장용 테이블을 생성하도록 하기위한 의존성
compile('org.springframework.session:spring-session-jdbc')
}- application.yml 에 세션 저장소를 jdbc로 선택하도록하는 코드를 추가한다.
spring:
session:
store-type: jdbc
# spring.session.jdbc.initialize-schema: always 설정이 있어야만
# JPA 가 자동으로 세션 저장용 테이블을 생성한다.
jdbc:
initialize-schema: always- 이후 애플리케이션을 실행하면 자동으로 SPRING_SESSION, SPRING_SESSION_ATTRIRBUTES 테이블이 자동 생성된다.
- RDS에서는 스프링을 재시작해도 세션이 풀리지 않는다
- H2 데이터베이스 기반으로 세션을 저장하면 스프링이 재시작할 떄 마다 세션이 풀린다.
