😎 1. [CowAPI]Notice

---

• 요구사항에 따라 공지에 대해 유저의 Role을 관리해야 합니다.

• 프로토타입으로 User DB의 isAdmin 으로 if문을 걸어서 구현을 했습니다.

• Springboot security를 사용하여 사용자의 권한을 관리를 하겠습니다.

• 아래의 Springboot security는 Notice를 기준으로 설명하겠습니다.

• 추후에는 JWT를 적용할 예정입니다.

2. StringBoot Security

---

• Springboot Security는 authentication, authorization 과 common attack들에 대해서 보호를 제공하는 프레임워크 입니다.

dependencies

dependencies {
	implementation "org.springframework.boot:spring-boot-starter-security"
}

3. Code reivew

---

🎃 현재는 코드를 수정했으며 여기에서 확인할 수 있습니다.

😎 흐름과 설명

• UserAuthenticationConfig : SecurityConfigurerAdapter를 extends 하며 UsernamePasswordAuthenticationFilter 이전에 UserAuthenticationFilter를 적용합니다.
• UserAuthenticationFilter : UsernamePasswordAuthenticationFilter를 extends 하며 doFilter를 수행합니다.
• UserAuthenticationProvider : Authentication Provider를 implements 하며 Role을 부여합니다.
• UserAuthenticationConverter : AuthenticationConverter를 implements 하며 http request를 Authentication으로 convert 하는 클래스 입니다.
• UserauthenticationService : UserDetailService를 implements한 Dao 입니다.
• User : UserDetail을 implements 한 Entity 입니다.

SecurityConfig

    @Override
    protected void configure(HttpSecurity httpSecurity) throws Exception {
        httpSecurity
        		// csrf를 disable 했습니다.
                .csrf().disable()
                .exceptionHandling()

                .and()
                    .authorizeRequests()
                    // Notice의 Role을 검사합니다.
                    .antMatchers(HttpMethod.POST, "/api/v1/notices/notice").hasRole("ADMIN")
                    .antMatchers(HttpMethod.PUT, "/api/v1/notices/notice").hasRole("ADMIN")
                    .antMatchers(HttpMethod.DELETE, "/api/v1/notices/notice/**").hasRole("ADMIN")
                    .antMatchers(HttpMethod.GET, "/api/v1/notices/notice/**").hasAnyRole("ADMIN", "USER")
                    
                    // Swagger의 접근을 permitALL() 합니다.
                    .antMatchers("/v3/api-docs/**", "/swagger-ui/**").permitAll()
                    .anyRequest().permitAll()

                .and()
                	// UsernamePasswordAuthenticationFilter 전에 필터를 적용합니다.
                	.apply(new UserAuthenticationConfig(userAuthenticationProvider))

                .and()
                	.authenticationManager(userAuthenticationManager);


    }

😎 Notice 테스트 결과

일반 사용자 일 때

관리자 일 때

Role 부여하기 기능을 구현하면서

---

• Springboot security를 처음 사용해보았습니다.
• 다른 블로그들과는 다르게 CowAPI DB를 최대한 수정하지 않고 구현하기위해 노력했습니다.
• Role을 if-else 문이 아닌 security를 사용함으로써 서비스의 코드가 간결해지고 안정적으로 운영할 수 있다는 것을 깨달았습니다.
• csrf를 적용하지 않아서 GET을 제외한 다른 HTTP Method들의 에러가 났습니다.
• API 서버에서는 csrf를 적용하지 않아도 되지만 세션 기반의 유저 관리를 했을 때 필요할 것이라고 생각하여 한번 구현을 해보고 테스트를 진행해보았습니다.
• 추후에 JWT와 CORS를 적용할 예정입니다.

Code

---

Github : CowAPI