스프링 시큐리티와 OAuth2.0으로 로그인 기능 구현하기
스프링 시큐리티(Spring Security)는 막강한 인증(Authentication)과 인가(Authorization) 혹은 권한 부여 기능을 가진 프레임 워크이다.
사실상 스프링 기반의 애플리케이션에서는 보안을 위한 표준이라고 보면 된다. 인터셉터, 필터 기반의 보안 기능을 구현하는 것보다 스프링 시큐리티를 통해 구현하는 것을 적극적으로 권장한다고 한다.
5.1 스프링 시큐리티와 스프링 시큐리티 Oauth2 클라이언트
최근 많은 서비스에서 소셜 로그인 기능을 사용하고 있다. 로그인 서비스를 직접 구현하게 될 경우 다음을 전부 구현해야 한다.
- 로그인 시 보안
- 회원가입 시 이메일 혹은 전화번호 인증
- 비밀번호 찾기
- 비밀번호 변경
- 회원정보 변경
하지만 OAuth 로그인 구현 시 앞선 목록의 것들을 모두 소셜 로그인에 맡기게 되니 서비스 개발에 집중할 수 있게 된다.
책에서는 스프링 부트 2 방식인 Spring Security Oauth2 Client 라이브러리를 사용해서 진행한다.
5.2 구글 서비스 등록
구글 서비스에 신규 서비스를 생성한다. 여기서 발급된 인증 정보(clientId와 clientSecret)를 통해 로그인 기능과 소셜 서비스 기능을 사용할 수 있으니 필수로 발급받아야 시작할 수 있다.
구글 클라우드 플랫폼 주소인 https://console.cloud.google.com 으로 이동하자.
- 상단에 있는 프로젝트 선택 버튼을 클릭한다.
- 새 프로젝트를 클릭한다.
- 등록될 서비스의 이름을 프로젝트 이름에 입력한다. 책에서는 freelec-springboot2-webservice로 지었다.
-
프로젝트 생성을 위해 만들기를 눌러준다.
-
생성이 완료되면 왼쪽 메뉴 탭에 있는 API 및 서비스 메뉴에 대시보드로 이동한다.
- 왼쪽 메뉴 탭 중간에 있는 [사용자 인증 정보]를 클릭하고 상단에 있는 [+사용자 인증 정보 만들기]를 클릭한다.
- 소셜 로그인은 OAuth 클라이언트 ID로 구현한다. [OAuth 클라이언트 ID] 항목을 클릭한다.
- 클라이언트 ID가 생성되기 전에 동의 화면 구성이 필요하므로 안내에 따라 [동의 화면 구성] 버튼을 클릭한다.
-
우리가 사용하려는 로그인 방식은 User Type은 외부이다. 외부를 선택하고 만들기를 클릭한다.
-
애플리케이션 이름과 지원 이메일을 작성하자.
- 애플리케이션 이름: 구글 로그인 시 사용자에게 노출될 애플리케이션 이름을 이야기 한다.
- 지원 이메일: 사용자 동의 화면에서 노출될 이메일 주소이다. 보통 서비스의 help 이메일 주소를 사용하지만 여기서는 사용자의 이메일 주소를 입력하면 된다.
- 화면 하단에 있는 개발자 연락처 정보에 이메일 주소 까지 입력한 후에 [저장 후 계속] 버튼을 클릭한다.
- 이후로 범위 탭 에서 [범위 추가 또는 삭제] 버튼을 누르고 API에서 email, progile, openid를 클릭하고 하단에 있는 업데이트 버튼을 눌러 활성화 시켜준다.
-
테스트 사용자에 추가하는 내용 없이 그대로 저장 후 계속 버튼을 누른 후 대시보드로 돌아가기를 눌러준다.
-
OAuth 동의 화면을 만들었으니 이제 사용자 인증 정보 만들기 화면으로 이동하자.
- 애플리케이션 유형: 웹 애플리케이션
- 이름: freelec-springboot2-webservice
- 승인된 리디렉션 URI에서 [+URI 추가]를 누르고 [URI 1]에 http://localhost:8080/login/oauth2/code/google 을 입력하고 만들기 버튼을 누른다.
- 만들기 버튼을 누르면 그림과 같이 인증 정보를 볼수 있다.
생성된 클라이언트 ID와 클라이언트 보안 비밀코드를 프로젝트에서 설정하자.
application-oauth 등록
application.properties가 있는 src/main/resources/ 디렉토리에 application-oauth.properties 파일을 생성하자.
spring.security.oauth2.client.registration.google.client-id=클라이언트 ID
spring.security.oauth2.client.registration.google.client-secret=클라이언트 보안 비밀
spring.security.oauth2.client.registration.google.scope=profile,email많은 예제에서는 이 scope를 별도로 등록하지 않고 있다. 기본 값이 openid, profile, email이기 떄문이다. 강제로 profile, email을 등록한 이유는 openid라는 scope가 있으면 Open Id Provider로 인식하기 때문이다. 이렇게 되면 Open Id Provider인 서비스(구글)와 그렇지 않은 서비스(네이버,카카오 등)로 나뉘어 각각 OAuth2Service를 만들어야 한다. 하나의 OAuth2Service로 사용하기 위해 일부러 openid scope를 빼고 등록한다.
참고
스프링 부트에서는 properties 의 이름을 application-xxx.properties로 만들면 xxx라는 이름이 profile이 생성되어 이를 통해 관리할 수 있다. 즉 profile=xxx라는 식으로 호출하면 해당 properties의 설정들을 가져올 수 있다. 호출하는 방식은 여러 방식이 있지만 이 책에서는 스프링 부트의 기본 설정 파일인 application.properties에서 applicaion-oauth.properties를 포함하도록 구성하자.
application.properties의 코드를 수정하자.
spring.jpa.show_sql=true
spring.jpa.properties.hibernate.dialect=org.hibernate.dialect.MySQL57Dialect
spring.jpa.properties.hibernate.dialect.storage_engine=innodb
spring.profiles.include=oauth- gitignore 등록
구글 로그인을 위한 클라이언트 ID와 클라이언트 보안 비밀은 보안이 중요한 정보다. 이들이 외부에 노출되지 않도록 .gitignore에 코드를 추가하자.
# Project exclude paths
.gradle
.idea
application-oauth.properties5.3 구글 로그인 연동하기
사용자 정보를 담당할 도메인인 User 클래스를 생성한다. 패키지 경로는 src/main/java/com/jojoldu/book/springboot/domain/user이다.
user 패키지에 User 클래스를 생성하자.
package com.jojoldu.book.springboot.domain.user;
import com.jojoldu.book.springboot.domain.BaseTimeEntity;
import javax.persistence.Column;
import javax.persistence.Entity;
import javax.persistence.EnumType;
import javax.persistence.Enumerated;
import javax.persistence.GeneratedValue;
import javax.persistence.GenerationType;
import javax.persistence.Id;
import lombok.Builder;
import lombok.Getter;
import lombok.NoArgsConstructor;
@Getter
@NoArgsConstructor
@Entity
public class User extends BaseTimeEntity {
@Id
@GeneratedValue(strategy = GenerationType.IDENTITY)
private Long id;
@Column(nullable = false)
private String name;
@Column(nullable = false)
private String email;
@Column
private String picture;
@Enumerated(EnumType.STRING)
@Column(nullable = false)
private Role role;
@Builder
public User(String name, String email, String picture, Role role) {
this.name = name;
this.email = email;
this.picture = picture;
this.role = role;
}
public User update(String name, String picture) {
this.name = name;
this.picture = picture;
return this;
}
public String getRoleKey() {
return this.role.getKey();
}
}각 사용자의 권한을 관리할 Enum 클래스 Role을 생성하자. 경로는 user 패키지이다.
package com.jojoldu.book.springboot.domain.user;
import lombok.Getter;
import lombok.RequiredArgsConstructor;
@Getter
@RequiredArgsConstructor
public enum Role {
GUEST("ROLE_GUEST", "손님"),
USER("ROLE_USER", "일반 사용자");
private final String key;
private final String title;
}마지막으로 User의 CRUD를 책임질 UserRepository를 생성하자. 경로는 user패키지이다.
package com.jojoldu.book.springboot.domain.user;
import java.util.Optional;
import org.springframework.data.jpa.repository.JpaRepository;
public interface UserRepository extends JpaRepository<User, Long> {
Optional<User> findByEmail(String email);
}이로써 User 엔티티 관련 코드는 모두 작성했다. 이제 시큐리티 설정을 진행하자.
스프링 시큐리티 설정
먼저 build.gadle에 스프링 시큐리티 관련 의존성을 추가하자.
implementation('org.springframework.boot:spring-boot-starter-oauth2-client')
dependencies {
implementation('org.springframework.boot:spring-boot-starter-web')
implementation('org.springframework.boot:spring-boot-starter-data-jpa')
implementation('org.springframework.boot:spring-boot-starter-mustache')
implementation('org.springframework.boot:spring-boot-starter-oauth2-client') //추가
implementation('org.springframework.session:spring-session-jdbc')
implementation('org.projectlombok:lombok')
implementation('com.h2database:h2')
testImplementation('org.springframework.boot:spring-boot-starter-test')
testImplementation('org.springframework.security:spring-security-test')
annotationProcessor('org.projectlombok:lombok')
}
build.gradle 설정이 끝났으면 OAuth 라이브러리를 이용한 소셜 로그인 설정코드를 작성하자.
config.auth 패키지를 생성하자. 시큐리티 관련 클래스는 모두 이곳에 담긴다.
SecurityConfig 클래스를 생성하자
코드생략
@EnableWebSecurity
- Spring Security 설정들을 활성화 시켜준다.
csrf().disable().headers().freamOptions().disable()
- h2-console 화면을 사용하기 위해 해당 옵션들을 disable 한다.
authorizeRequests
- URL 별 권한 관리를 설정하는 옵션의 시작점이다.
- authorizeRequests가 선언되어야만 antMatchers 옵션을 사용할 수 있다.
antMatchers
- 권한 관리 대상을 지정하는 옵션이다.
- URL, HTTP 메서드별로 관리가 가능하다.
- "/"등 지정된 URL 등을 permitAll() 옵션을 통해 전체 열람 권한을 주었다.
- "/api/v1/**" 주소를 가진 API는 USER 권한을 가진 사람만 가능하도록 했다.
anyRequest
- 설정된 값들 이외 나머지 URL들을 나타낸다.
- 여기서는 authenticated()을 추가하여 나머지 URL들은 모두 인증된 사용자들에게만 허용하게 한다.
- 인증된 사용자 즉, 로그인한 사용자들을 이야기한다.
logout().logoutSuccessURl("/")
- 로그아웃 기능에 대한 여러 설정의 진입점이다.
- 로그아웃 성공 시 / 주소로 이동한다.
oauth2Login
- OAuth2 로그인 기능에 대한 여러 설정의 진입점이다.
userInfoEndPoint
- OAuth2 로그인 성공 이후 사용자 정보를 가져올 때의 설정들을 담당한다.
userService
- 소셜 로그인 성공 시 후속 조치를 진행할 UserService 인터페이스의 구현체를 등록한다.
- 리소스 서버(소셜 서비스들)에서 사용자 정보를 가져온 상태에서 추가로 진행하고자 하는 기능을 명시할 수 있다.
CustomOAuth2UserService 클래스를 생성하자
이 클래스는 구글 로그인 이후 가져온 사용자의 정보(email, name, picture 등등)들을 기반으로 가입 및 정보수정, 세션 저장 등의 기능을 지원한다.
코드생략
registrationId
- 현재 로그인 진행중인 서비스를 구분하는 코드이다.
- 지금은 구글만 사용하는 불필요한 값이지만, 이후 네이버 로그인 연동 시에 네이버 로그인인지, 구글 로그인인지 구분하기 위해 사용한다.
userNameAttributeName
- OAuth2 로그인 진행 시 키(key)가 되는 필드값을 이야기한다. 네이버, 카카오 등은 기본 지원하지 않는다. 구글의 키본 코드는 "sub"이다.
OAuthAttributes
- OAuth2UserService를 통해 가져온 OAuth2User의 attribute를 담은 클래스이다.
- 이후 네이버 등 다른 소셜 로그인도 이 클래스를 사용한다.
SessionUser
- 세션에 사용자 정보를 저장하기 위한 Dto 클래스이다.
구글 사용자가 업데이트 되었을 때를 대비해 update 기능도 같이 구현되있다.
OAuthAttributes 클래스를 생성하자.
OAuthAttributes는 Dto로 보기 떄문에 config.auth.dto 패키지에 클래스를 생성하자.
코드생략
of()
- OAuth2User에서 반환하는 사용자 정보는 Map이기 떄문에 값 하나하나를 변환해야만 한다.
toEntity()
- User 엔티티를 생성한다.
- OAuthAttributes에서 엔티티를 생성하는 시점은 처음 가입할 때이다.
- 가입할 때의 기본 권한을 GUEST로 주기 위해 role 빌더값에는 Role.GUEST를 사용한다.
config.oauth.dto 패키지에 SessionUser 클래스를 생성하자
SessionUser에는 인증된 사용자 정보만 필요하다. 그 외에 필요한 정보들은 없으니 name, email, picture만 필드로 선언한다.
코드 생략
SessionUSer 클래스를 생성한 이유
직렬화 기능을 가진 세션Dto를 생성하는 것이 이후 운영 및 유지보수에 많은 도움이 된다.
로그인 테스트
index.mustache 코드를 수정하자.
{{>layout/header}}
<h1>스프링 부트로 시작하는 웹 서비스 Ver.3-실제 배포</h1>
<div class="col-md-12">
<!-- 로그인 기능 영역 -->
<div class="row">
<div class="col-md-6">
<a href="/posts/save" role="button" class="btn btn-primary">글 등록</a>
{{#userName}}
Logged in as: <span id="user">{{userName}}</span>
<a href="/logout" class="btn btn-info active" role="button">Logout</a>
{{/userName}}
{{^userName}}
<a href="/oauth2/authorization/google" class="btn btn-success active" role="button">Google Login</a>
</div>
</div>
<br>
<!-- 목록 출력 영역 -->
...{{#userName}}
- 머스테치는 다른 언어와 같은 if문을 제공하지 않는다.
- userName이 있다면 userName을 노출시키도록 구성했다.
a href=/logout
- 스프링 시큐리티에서 기본적으로 제공하는 로그아웃 URL이다.
- 개발자가 별도로 저 URL에 해당하는 컨트롤러를 만들 필요가 없다.
- SecurityConfig 클래스에서 URL을 변경할 수 있다.
{{^userName}}
- 머스테치는 해당값이 존재하지 않는 경우에 ^를 사용한다.
- userName이 없다면 로그인 버튼을 노출시키도록 구성했다.
a href="oauth2/authorization/google
- 스프링 시큐리티에서 기본적으로 제공하는 로그인 URL 이다.
- 로그아웃 URL과 마찬가지로 개발자가 별도의 컨트롤러를 작성할 필요가 없다.
IndexController에서 userName을 model 에 저장하는 코드를 추가하자.
@Controller
@RequiredArgsConstructor
public class IndexController {
private final PostsService postsService;
@GetMapping("/")
public String index(Model model) {
model.addAttribute("posts", postsService.findAllDesc());
sessionUser user = (SessionUser) httpSession.getAttribute("user");
if (user != null) {
model.addAttribute("userName", user.getName());
}
return "index";
}(SessionUser)httpSession.getAttribute("user")
- 앞서 작성된 CustomOAuth2UserService에서 로그인 성공 시 세션에 SessionUser를 저장하도록 구성했다.
- 로그인 성공 시 httpSession.getAttribute("user")에서 값을 가져올 수 있따.
if (user !=null)
- 세션에 저장된 값이 있을 때만 model에 userName으로 등록한다.
- 세션에 저장된 값이 없으면 model엔 아무런 값이 없는 상태이니 로그인 버튼이 보이지 않게 된다.
프로젝트를 실행하면 구글 로그인 버튼이 활성화되고 로그인이 가능해진다.
글 등록은 로그인된 사용자의 권한이 GUEST라 현재는 등록이 불가하다. http://localhost:8080/h2-console 에 접속하여 사용자의 role을 USER로 변경하면 글 등록이 가능해진다.
5.4 어노테이션 기반으로 개선하기
index 메서드 외에 다른 컨트롤러와 메서드에서 세션값이 필요하면 그때마다 직접 세션에서 값을 가져와야한다. 같은 코드가 계속해서 반복되는 것은 불필요하다. 이 부분을 메서드 인자로 세션값을 바로 받을 수 있도록 변경하자.
config.auth 패키지에 @LoginUser 어노테이션을 생성하자.
package com.jojoldu.book.springboot.config.auth;
import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;
@Target(ElementType.PARAMETER)
@Retention(RetentionPolicy.RUNTIME)
public @interface LoginUser {
}@Target(ElementType.PARAMETER)
- 어노테이션이 생성될 수 있는 위치를 지정한다.
- PARAMETER로 지정했으니 메서드의 파라미터로 선언된 객체에서만 사용가능하다.
@interface
- 이 파일을 어노테이션 클래스로 지정한다.
같은 위치에 LoginUserArgumentResolver 클래스를 생성하자.
LoginUserArgumentResolver는 HandlerMethodArgumentResolver 인터페이스를 구현한 클래스이다.
HandlerMethodArgumentResolver는 조건에 맞는 경우 메서드가 있다면 HandlerMethodArgumentResolver의 구현체가 지정한 값을 해당 메서드의 파라미터로 넘길 수 있다.
package com.jojoldu.book.springboot.config.auth;
import com.jojoldu.book.springboot.config.auth.dto.SessionUser;
import javax.servlet.http.HttpSession;
import lombok.RequiredArgsConstructor;
import org.springframework.core.MethodParameter;
import org.springframework.stereotype.Component;
import org.springframework.web.bind.support.WebDataBinderFactory;
import org.springframework.web.context.request.NativeWebRequest;
import org.springframework.web.method.support.HandlerMethodArgumentResolver;
import org.springframework.web.method.support.ModelAndViewContainer;
@RequiredArgsConstructor
@Component
public class LoginUserArgumentResolver implements HandlerMethodArgumentResolver {
private final HttpSession httpSession;
@Override
public boolean supportsParameter(MethodParameter parameter) {
boolean isLoginUserAnnotation = parameter.getParameterAnnotation(LoginUser.class) != null;
boolean isUserClass = SessionUser.class.equals(parameter.getParameterType());
return isLoginUserAnnotation && isUserClass;
}
@Override
public Object resolveArgument(MethodParameter parameter, ModelAndViewContainer mavContainer,
NativeWebRequest webRequest, WebDataBinderFactory binderFactory) throws Exception {
return httpSession.getAttribute("user");
}
}supportsParameter()
- 컨트롤러 메서드의 특정 파라미터를 지원하는지 판단한다.
- 여기선 파라미터에 @LoginUser 어노테이션이 붙어 있고, 파라미터 플래스 타입이 SessionUser.class인 경우 true를 반환한다.
resolveArgument()
- 파라미터에 전달할 객체를 생서한다.
- 여기선 세션에서 객체를 가져온다.
WebConfig를 생성하자.
LoginUserArgumentResolver가 스프링에서 인식될 수 있도록 하자.
package com.jojoldu.book.springboot.config;
import com.jojoldu.book.springboot.config.auth.LoginUserArgumentResolver;
import java.util.List;
import lombok.RequiredArgsConstructor;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.method.support.HandlerMethodArgumentResolver;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
@Configuration
@RequiredArgsConstructor
public class WebConfig implements WebMvcConfigurer {
private final LoginUserArgumentResolver loginUserArgumentResolver;
@Override
public void addArgumentResolvers(List<HandlerMethodArgumentResolver> argumentResolvers) {
argumentResolvers.add(loginUserArgumentResolver);
}
}이제 모든 설정이 끝났다. IndexController의 코드를 수정하자.
@Controller
@RequiredArgsConstructor
public class IndexController {
private final PostsService postsService;
@GetMapping("/")
public String index(Model model, @LoginUser SessionUser user) {
model.addAttribute("posts", postsService.findAllDesc());
if (user != null) {
model.addAttribute("userName", user.getName());
}
return "index";
}5.5 세션 저장소로 데이터베이스 사용하기
build.gradle에 spring-session-jdbc 등록하기
implementation('org.springframework.session:spring-session-jdbc')를 build.gradle에 dependencies에 추가하자.
dependencies {
implementation('org.springframework.boot:spring-boot-starter-web')
implementation('org.springframework.boot:spring-boot-starter-data-jpa')
implementation('org.springframework.boot:spring-boot-starter-mustache')
implementation('org.springframework.boot:spring-boot-starter-oauth2-client')
implementation('org.springframework.session:spring-session-jdbc') //추가
implementation('org.projectlombok:lombok')
implementation('com.h2database:h2')
implementation('org.mariadb.jdbc:mariadb-java-client')
testImplementation('org.springframework.boot:spring-boot-starter-test')
testImplementation('org.springframework.security:spring-security-test')
annotationProcessor('org.projectlombok:lombok')
}그리고 applicaion.properties에 세션 저장소를 jdbc로 선택하도록 코드를 추가하자.
spring.session.store-type=jdbc
spring.jpa.show_sql=true
spring.jpa.properties.hibernate.dialect=org.hibernate.dialect.MySQL57Dialect
spring.jpa.properties.hibernate.dialect.storage_engine=innodb
spring.session.store-type=jdbc //추가
spring.profiles.include=oauth이로써 구글 로그인기능 구현이 완료됐다.
