💻 코딩 일기 : [Spring Security] '게시판 회원권한 설정' 편

🔔 '게시판 회원권한 설정'에 대해서 알아보자!

로그인 :

• 글 작성 시 작성자는 로그인한 사람의 이메일
• 로그인한 사람만 글쓰기 가능
• 작성자 자신 글만 수정/삭제 가능
• 자신의 회원정보만 수정/삭제 가능
• 회원 탈퇴 시 게시글 삭제

💟 글 작성 시 작성자는 로그인한 사람의 이메일로 조회

• board 테이블에 member 테이블의 아이디를 참조하는 member_id 컬럼을 추가합니다.

ALTER TABLE board ADD COLUMN member_id INT REFERENCES member (id);

• BoardMappe에서 board 테이블과 member 테이블 조인하기

@Select("""
        SELECT b.id, 
               b.title,
               m.nick_name writer
        FROM board b JOIN member m ON b.member_id = m.id
        ORDER BY id DESC
        LIMIT #{offset}, 10
        """)
List<Board> selectAllByPage(int offset);

• 작성자를 로그인한 회원의 이메일로 받아야 하는데 로그인 정보를 Security가 가지고 있으므로 정보를 받기 위해 Authentication을 작성합니다.
• Authentication 객체에는 form에서의 username과 password랑 UserDetails(CustomUser)의 username과 password를 비교할 때 사용한 UserDetails 객체가 로그인 성공했을 때 Authentication에 들어있습니다.
• 객체를 꺼내는 방법은 getPrincipal()를 사용합니다.
• member의 id를 꺼내서 board의 member_id에 저장해야 합니다.

public void add(Board board, Authentication authentication) {
    Object principal = authentication.getPrincipal();
    if (principal instanceof CustomUser user) {
        Member member = user.getMember();
        board.setMemberId(member.getId());
        mapper.insert(board);
    }
}

• CustomeUser에서 getMember()를 받아야 하기 때문에 CustomUser에 Member 필드를 만들고 CustomeUser()에 Member를 넣어주고 Getter 만들어 줍니다.

@Getter
public class CustomUser extends User {
    private Member member;

    public CustomUser(Member member) {
        super(member.getEmail(), member.getPassword(), List.of());
        this.member = member;
    }
}

• board가 member의 아이디를 받아서 board의 memberId에 넣어줘야 합니다.
• Board 객체에 memberId를 만들어 줍니다.

@Data
public class Board {
    private Integer id;
    private String title;
    private String content;

    // 작성자 nickName 용으로 사용됨
    private String writer;
    private LocalDateTime inserted;
    private Integer memberId;
}

• BoardMapper에서 insert 쿼리를 수정합니다.

@Insert("""
        INSERT INTO board (title, content, member_id)
        VALUES (#{title}, #{content}, #{memberId})
        """)
@Options(useGeneratedKeys = true, keyProperty = "id")
int insert(Board board);

• 조회시 조회된 화면에 작성자에 memberId가 들어가야 하기 때문에 JOIN을 해줘야 합니다.

@Select("""
        SELECT b.id,
               b.title,
               b.content,
               b.inserted,
               m.nick_name writer,
               m.id member_id
        FROM board b JOIN member m ON b.member_id = m.id
        WHERE b.id = #{id}
        """)
Board selectById(Integer id);

---

💟 수정할 때 자신의 글만 삭제

• 권한이 있다면(hasAccess()) 게시글 삭제 가능하게 합니다.

@PostMapping("/delete")
public String delete(Integer id, Authentication authentication) {
    if (service.hasAccess(id, authentication)) {
        service.remove(id);
    }

    return "redirect:/";
}

• BoardService에서 권한의 유무에 따라 수정 여부를 가립니다.

public boolean hasAccess(Integer id, Authentication authentication) {
    // 로그인 성공 못했다면 false
	if (authentication == null) {
        return false;
    }
	
    // 로그인 성공 시
    Board board = mapper.selectById(id);
    Object principal = authentication.getPrincipal();
    if (principal instanceof CustomUser user) {
        Member member = user.getMember();
        return board.getMemberId().equals(member.getId());
    }
    return false;
}

• 로그인에 성공했다면 게시글(board)의 있는 Member의 id와 로그인한 id와 같은지 비교합니다.

@Select("""
        SELECT b.id,
               b.title,
               b.content,
               b.inserted,
               m.nick_name writer,
               m.id member_id
        FROM board b JOIN member m ON b.member_id = m.id
        WHERE b.id = #{id}
        """)
Board selectById(Integer id);

---

💟 수정할 때 자신의 글만 수정

• 로그인한 사람의 정보(id) 를 받아 권한이 있다면 작성자 게시글만 수정가능합니다.

@PostMapping("/modify")
public String modifyPost(Board board, Authentication authentication, RedirectAttributes rttr) {

    if (service.hasAccess(board.getId(), authentication)) {
        service.modify(board);
    }

    rttr.addAttribute("id", board.getId());
    return "redirect:/board";
}

• 작성자 자신의 글일 때만 삭제, 수정버튼 보이고 다른 회원의 게시글은 안보이게 합니다.

<sec:authorize access="isAuthenticated()"> <%-- 로그인이 되었는지 확인--%>
  <%-- 1. 로그인된 사용자의 id와 2.게시물의 memberId가 같으면 버튼 보여줌--%>
    <sec:authentication property="principal.member" var="member"/>
    <c:if test="${member.id eq board.memberId}">
        <div class="mb-3">
            <button form="formDelete" class="btn btn-danger">삭제</button>
            <a href="/modify?id=${board.id}" class="btn btn-secondary">수정</a>
        </div>
    </c:if>
</sec:authorize>

• 사용자의 id를 받기 위해서 property 속성에서 principal안에 member 객체를 넣어줬기 때문에 principal.member로 작성합니다.
• 사용자의 id와 게시물의 memberId가 같아면 수정, 삭제 버튼이 보이게합니다.

---

💟 자신의 회원정보만 삭제 가능

• 접근이 가능할 때만 삭제 합니다.

@PostMapping("remove")
public String remove(Integer id, Authentication authentication) {
    if (service.hasAccess(id, authentication)) {
        service.remove(id);
    }

    return "redirect:/logout";
}

• MemberService에서 권한의 유무에 따라 수정 여부를 가립니다.

public boolean hasAccess(Integer id, Authentication authentication) {
    if (authentication == null) {
        return false;
    }

    Object principal = authentication.getPrincipal();
    if (principal instanceof CustomUser user) {
        Member member = user.getMember();
        return member.getId().equals(id);
    }
    return false;
}

---

💟 자신의 회원정보만 수정 가능

패스워드를 암호화해서 저장됩니다.

public void modify(Member member) {
    if (member.getPassword() != null && member.getPassword().length() > 0) {
        // 암호를 입력했을 때만 변경
        member.setPassword(encoder.encode(member.getPassword()));
    } else {
        // 그렇지 않으면 기존 암호 유지
        Member old = mapper.selectById(member.getId());
        member.setPassword(old.getPassword());
    }

    mapper.update(member);
}

---

💟 회원 탈퇴 시 게시글 삭제

• 회원 탈퇴할 때 board 테이블의 게시물 삭제 후 탈퇴가 가능합니다. 그 이유는 board 테이블이 member 테이블을 참조하고 있기 때문에 작성한 글을 먼저 삭제하고 그 다음 회원 탈퇴가 가능합니다.

public void remove(Integer id) {
    // board 테이블에서 레코드 삭제
    boardMapper.deleteBoardByMemberId(id);

    // member 테이블에서 레코드 삭제
    mapper.deleteById(id);
}