💻 코딩 일기 : [Spring Security] '관리자 접근' 편

🔔 '관리자 권한 접근'에 대해서 알아보자!

로그인 :

• 회원정보는 본인과 관리자만 볼 수 있게 접근합니다.

💟 회원정보는 본인과 관리자만 볼 수 있게 접근

1. 권한(authority) 테이블 만들기

CREATE TABLE authority
(
    id        INT PRIMARY KEY AUTO_INCREMENT,
    member_id INT         NOT NULL REFERENCES member (id),
    name      VARCHAR(20) NOT NULL
);

• 사용자 ID에 따른 권한 정보를 저장합니다.

2. MemberMapper에서 멤버 아이디에 의해 저장된 권한 정보 조회하기

@Select("""
        SELECT name FROM authority WHERE member_id = #{memberId}
        """)
List<String> selectAuthorityByMemberId(Integer memberId);

3. UseDetails에 권한 주입하기

• 사용자 DB 조회하고 해당 아이디의 권한을 가져옵니다.

@Component
@RequiredArgsConstructor
public class CustomUserDetailsService implements UserDetailsService {

    private final MemberMapper mapper;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        Member member = mapper.selectByEmail(username);
        List<String> authority = mapper.selectAuthorityByMemberId(member.getId());
        member.setAuthority(authority);
        return new CustomUser(member);
    }
}

• 사용자 정보를 가져와 해당 사용자의 ID의 권한 정보를 조회하고 이를 CustomUser 객체를 생성하여 반환합니다.

4. 사용자 권한 저장 및 생성자를 통해 권한 전달 받기

@Getter
public class CustomUser extends User {
    private Member member;

    public CustomUser(Member member) {
        super(member.getEmail(), member.getPassword(), member.getAuthority().stream().map(SimpleGrantedAuthority::new).toList());
        this.member = member;
    }
}

• CustomUser(Member member) : User 클래스의 생성자를 호출하여 회원의 이메일, 비밀번호, 권한 정보를 받아서 CustomUser 객체 생성 및 정보를 설정합니다.
• 사용자의 권한 정보를 GrantedAuthority 객체의 리스트(Collection)으로 관리해야 하기 때문에 Stream을 사용합니다. 여러 개의 권한 정보를 리스트 형식으로 가져와 스트림으로 변환 후 map() 메서드를 사용하여 SimpleGrantedAuthority 객체로 변환해 다시 리스트로 변환합니다.

5. 회원 정보 페이지로 링크 타고 들어갈 때 admin일 때만 들어가도록 설정하기

@GetMapping("list")
@PreAuthorize("hasAnyAuthority('admin')")
public String list(Member member, Model model) {
    model.addAttribute("memberList", service.list());
    return "member/list";
}

6. 회원 정보 관리자만 접근하기

@GetMapping("")
public String view(Integer id, Authentication authentication, Model model) {
    if (service.hasAccess(id, authentication) || service.isAdmin(authentication)) {
        model.addAttribute("member", service.get(id));
        return "member/info";
    }
    return "redirect:/";
}

• 접근 권한을 가진 사용자인지 관리자인지 여부를 확인 후 해당 회원 정보를 보여줍니다.

public boolean isAdmin(Authentication authentication) {
    Object principal = authentication.getPrincipal();
    if (principal instanceof CustomUser user) {
        return user.getAuthorities().stream().map(GrantedAuthority::getAuthority).anyMatch(authority -> authority.equals("admin"));
    }
    return false;
}
- 사용자가 자긴 권한 목록을 가져와 사용자가 가진 권한 중에 admin 권한이 있는지 확인하여 true이면 사용자가 관리자입니다.

7. 회원 정보 자신 정보 접근 가능

<sec:authorize access="isAuthenticated()">
    <sec:authorize access="hasAuthority('admin')">
        <li class="nav-item">
            <a href="/member/list" class="nav-link">
                회원목록
            </a>
        </li>
    </sec:authorize>
</sec:authorize>

<sec:authorize access="isAuthenticated()">
    <sec:authentication property="principal.member" var="authMember"></sec:authentication>
    <li class="nav-item">
        <a href="/member?id=${authMember.id}" class="nav-link">내정보</a>
    </li>
</sec:authorize>

• navbar에 내 정보를 만들어 id로 타고 들어가 해당 페이지에서 내 정보를 볼 수 있게 합니다.