TIL(Web)-2021.02.09(spring boot-security)

BYEONGJUN KIM(JUN)·2021년 2월 15일
0
로그인 컨트롤러
Tiles 설정(view)
spring security 라이브러리 추가
보안이 필요한 페이지 설정
Cross Site Request Forgery
메인페이지 controller mapping & tiles 정의
로그인 로그아웃 버튼 설정
jdbcAuthentication()

TIL(Web)

목록 보기
44/45
post-thumbnail

로그인 컨트롤러

  • 로그인을 위한 컨트롤러

Tiles 설정(view)

  • login은 왜 home.*.*인가?
    • root 디렉토리이지만, 이것을 그냥 *.*으로 설정할 경우, 다른 tiles도 모두 호출되어 문제가 발생할 수 있어으므로 루트 디렉토리의 것만 호출한다는 의미로만 home을 붙인다.(의미상으로 추가한것)

spring security 라이브러리 추가

  • spring-boot-starter-security

보안이 필요한 페이지 설정

  • 누군 되고 누군 안되는지?
    • auth.ldap
      • DC도메인 컨트롤러에서 WebServer에 유저 정보를 전달하는 프로토콜
    • auth.jdbcAuthentication
      • 데이터베이스에서 유저정보 가져다 쓸때
    • auth.inMemoryAuthentication
      • 유저의 폭이 좁을때. 메모리에 추가해서 사용하는 방식
        • password에 {noop}을 붙임으로써 비밀번호 인코딩을 제거
  • 어떤건 되고 어떤건 안되는지
    • http.authorizeRequests()
      • 인증요청을 해야하는 url 매핑 정의
    • antMatchers("url")
      • security를 적용하고자 하는 url
      • 주의사항 : /admin/** >> resouces root 디렉토리까지 모두 탐색함.(그냥 /admin/ 으로 하면 /admin/ 을 포함하는 모든 디렉토리가 해당됨)
    • permitAll()
      • 권한 없어도 모두가 접근가능(anonymous까지)
    • hasAnyRole()
      • 해당 권한을 갖고 있는 사람만 접근 가능
    • anthenticated()
      • 인증이 되어야(로그인) 접근 가능
    • formLogin()
      • loginPage("url") : 인증을 필요로 할때 redirect 할 로그인 페이지 설정
      • loginProcessingUrl("url") : 로그인이 진행중인 URL. 즉, 로그인을 위한 form 데이터를 전송한 url
      • defaultSuccessUrl("url") : 필터에 걸려서 로그인 페이지로 간 것이 아닌, 로그인 페이지로 직접 이동하여 로그인을 한 경우, 로그인 성공시 redirect 되는 기본 url
    • logout()
      • logoutUrl("url") : 로그아웃 요청이 들어간 url
      • logoutSuccessUrl("url") : 로그아웃 성공시 redirect되는 url
      • invalidateHttpSession(true/false) : session 초기화 여부

Cross Site Request Forgery

  • get요청을 통해 form을 받고, form 전송을 통해 post요청을 하는데, form을 받아온 사이트와, post요청을 보낼 사이트가 다른경우.
  • 해결
    • get요청에대한 응답을 보낼때 key생성 > post요청시 key 검사
    • 또는 csrf().disable();
      • 위의 사진 참고

메인페이지 controller mapping & tiles 정의

  • controller mapping
  • tiles 정의

로그인 로그아웃 버튼 설정

  • spring-security-taglabs 라이브러리 추가
  • jsp 태그라이브러리 추가
  • spring이 제공하는 expression-based access control 사용하여 ui 조건 검사
    • isAnonymous() : 비인증된 상태인지?
    • isAuthenticated() : 인증된 상태인지?

jdbcAuthentication()

  • spring이 지정한 계정정보 : id, password, disabled
  • spring이 지정한 권한정보 : id, roleId
    • roleId는 무조건 ROLE_*** 형식으로 DB에서 가져와야함
  • 비밀번호가 BCrypt 인코딩 되있다면 검사할때도 같은 인코딩으로 검사 해야함.
@Override
	protected void configure(AuthenticationManagerBuilder auth) throws Exception {
		//누군 되고 누군 안되는지?
		auth .jdbcAuthentication()
				.dataSource(dataSource)
				.usersByUsernameQuery("select uid id, pwd password, 1 enabled from Member where uid=?")
				.authoritiesByUsernameQuery("select uid id, 'ROLE_ADMIN' roleId from Member where uid=?")
				.passwordEncoder(new BCryptPasswordEncoder());

	}
profile
BYEONGJUN KIM(JUN)
Web Backend 개발자
이전 포스트

스프링 DI란?

다음 포스트

TIL(Web)-2021.02.10(Spring Boot-transaction)

0개의 댓글

관련 채용 정보

[Mnet Plus] 백엔드 개발
Mnet Plus는 글로벌 KPOP 플랫폼 개발을 통한 K-Culture 소비자와의 연결을 목표로 합니다. Java 또는 Kotlin 경험이 있는 백엔드 개발자를 찾으며, 다양한 서비스 개발로 글로벌 비즈니스 기회를 창출하는 것이 특징입니다.
Back-end Developer(신입가능)
비더에그는 IT 아웃소싱과 라이브 커머스를 통해 더 나은 세상을 만들기 위한 도전을 지속하며, 신사업의 MVP 제작에 특화된 팀에서 함께할 후원 상큼한 신입 백엔드 개발자를 찾습니다. Kubernetes, Docker와 같은 최신 기술을 활용하여 고도화된 서비스를 구축하며, 자율적인 근무 환경과 지속적인 성장 지원이 제공되는 매력적인 기회를 놓치지 마세요!
[데이트팝]Python 백엔드 개발자(0~5년)
데이트팝은 350만 소상공인을 위한 마케팅 플랫폼으로, 유저 피드백을 즉각적으로 반영하는 B2C 서비스입니다. Python, AWS, Django 등을 활용해 REST API 개발 및 클라우드 인프라 관리 업무를 맡으며, 협력 중시의 개발 문화를 경험할 수 있습니다.
Powered by GraphCDN, the GraphQL CDN