💻 코딩 일기 : [Spring Security] '로그인 페이지 만들기' 편

🔔 '로그인 페이지 만들기'에 대해서 알아보자!

💟 Spring Security 사용해서 로그인 만들기

AppConfiguration(로그인에 필요한 설정)

@Configuration
@EnableMethodSecurity
public class AppConfiguration {

    //로그인 페이지 내가 작성하도록 스프링 기본 로그인 페이지가 아닌
    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http.csrf(csrf -> csrf.disable());
        http.formLogin(login -> login.loginPage("/member/login"));
        return http.build();
    }

    // 암호화
    @Bean
    public BCryptPasswordEncoder bCryptPasswordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

• 스프링 시큐리티를 사용하여 로그인을 하기 위한 URL을 설정합니다.

• .formLogin 메서드는 스프링 시큐리티의 로그인 담당하는 부분으로 로그인 페이지의 URL은 /member/login으로 설정합니다.

• BCryptPasswordEncoder : 암호화하기 위해 인코딩하는 코드입니다.

CustomUserDetailsService(사용자의 정보를 로드)

@Component
@RequiredArgsConstructor
public class CustomUserDetailsService implements UserDetailsService {

    private final MemberMapper mapper;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        return new CustomUser(mapper.selectByEmail(username));
    }
}

• form에서 받는 email, password랑 시큐리티(userDetails)에서 받는 username, password랑 같아야 로그인을 할 수 있습니다.
• UserDetailsService의 추상 메서드인 loadUserByUsername를 오버라이딩합니다.
• loadUserByUsername에서 사용자가 제공한 이메일을 받아서 해당 이메일을 기반으로 사용자 정보를 가져오는 역할을 합니다. 여기서는 MemberMapper를 사용하여 이메일에 해당하는 회원 정보를 데이터베이스에서 조회합니다.
• 사용자가 form에 적은 정보와 loadUserByUsername 메서드에서 반환된 정보와 비교하여 인증합니다.
• 조회된 회원 정보를 가지고 CustomUser 객체를 생성합니다. CustomUser는 UserDetails 인터페이스를 구현한 사용자 정보 객체이며 사용자의 인증 및 권한 정보를 제공합니다.
• Spring Security는 사용자가 제공한 비밀번호와 CustomUserDetailsService에서 가져온 회원 정보의 비밀번호를 비교하여 인증을 수행합니다.

CustomUser(사용자 식별 및 인증)

@Getter
public class CustomUser extends User {
    public CustomUser(Member member) {
        super(member.getEmail(), member.getPassword(), List.of());
    }
}

• userDetails는 인터페이스이기 때문에 인스턴스 생성 불가능하여 CustomerUser 클래스를 따로 생성하였습니다.
• CustomerUser 클래스에서 User클래스를 상속받아 User가 가지고 있는 생성자를 사용합니다. super("username","password","권한")에서 username에는 Member의 이메일, password에는 Member의 password를 받아와서 세팅합니다.CustomUserDetailsService의 loadUserByUsername`메서드에서 사용자의 정보를 받아 인증합니다.
• User 클래스 : 사용자의 인증 정보를 나타내며 이를 기반으로 로그인 여부를 결정합니다.

MemberService

public void signup(Member member) {
    member.setPassword(encoder.encode(member.getPassword()));
    mapper.insert(member);
}

• insert 하기 전에 회원의 비밀번호를 받아와 암호화를 해주고 암호화된 비밀번호를 받아옵니다.
• 회원가입시 비밀번호를 암호화된 상태로 받아야 로그인을 할 수 있어서 비밀번호를 BCryptPasswordEncoder를 사용하여 암호화하고 암호화한 것을 저장합니다.
• 이렇게 해싱된 비밀번호는 일반적으로 복호화될 수 없으므로, 사용자의 비밀번호 보안을 강화할 수 있습니다.

navbar.jsp

• navbar에서 로그인하면 목록, 글쓰기, 회원목록, 로그아웃 화면이 보여야 하고 로그아웃을 할 경우, 목록, 회원가입, 로그인 화면이 보여야 합니다.

<%@ taglib prefix="sec" uri="http://www.springframework.org/security/tags" %>
  
<li class="nav-item">
    <a href="/" class="nav-link">
        목록
    </a>
</li>
<sec:authorize access="isAuthenticated()">
    <li class="nav-item">
        <a href="/add" class="nav-link">
            글쓰기
        </a>
    </li>
    <li class="nav-item">
        <a href="/member/list" class="nav-link">
            회원목록
        </a>
    </li>
</sec:authorize>
<sec:authorize access="not isAuthenticated()">
    <li class="nav-item">
        <a href="/member/signup" class="nav-link">
            회원가입
        </a>
    </li>
    <li class="nav-item">
        <a href="/member/login" class="nav-link">
            로그인
        </a>
    </li>
</sec:authorize>
<sec:authorize access="isAuthenticated()">
    <li class="nav-item">
        <a href="/logout" class="nav-link">
            로그아웃
        </a>
    </li>
</sec:authorize>

• <sec:authorize access="isAuthenticated()"> : 로그인 하고 사용자가 인증되었을 때 해당 기능을 보여줍니다.
• <sec:authorize access="not isAuthenticated()"> : 로그인이 되지 않아 접근이 제한되어 일부 기능만 보여줍니다.