[7/31 TIL] SPRING SECURITY(시작)

🍃프로그래머스 백엔드 데브코스 4기 교육과정을 듣고 정리한 글입니다.🍃

Spring Security 시작

의존성 추가

• spring-boot-starter-security: spring security 모듈 사용
• spring-security-test: spring security 테스트 모듈 사용

WebSecurityConfigure

@Configuration
public class WebSecurityConfigure {

    @Bean
    public InMemoryUserDetailsManager userDetailsManager() {
        UserDetails admin = makeUserDetails("admin", "1234", "ADMIN");
        UserDetails user = makeUserDetails("user", "1234", "USER");
        return new InMemoryUserDetailsManager(user, admin);
    }

    private UserDetails makeUserDetails(String name, String password, String role) {
        return User.withUsername(name)
                .password(String.format("{noop}%s", password))
                .roles(role)
                .build();
    }

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        return http
                .authorizeHttpRequests(auth -> auth
                        .requestMatchers(new AntPathRequestMatcher("/me")).hasAnyRole("USER", "ADMIN") //"/me" 경로에 대해서는 "USER" 또는 "ADMIN" 권한을 가진 사용자만 접근할 수 있도록 설정
                    	.requestMatchers(new AntPathRequestMatcher("/admin")).hasRole("ADMIN") //"admin" 경로에 대해서는 "ADMIN" 권한을 가진 사용자만 접근할 수 있도록 설정 
                        .requestMatchers(new AntPathRequestMatcher("/admin")).fullyAuthenticated() //명시적인 로그인 아이디/비밀번호 기반으로 인증된 사용자만 접근 가능
                        .anyRequest().permitAll()) //"/me" 이외의 모든 요청에 대해서는 권한에 상관없이 모든 사용자에게 접근을 허용
                .formLogin(auth -> auth
                		.defaultSuccessUrl("/") //기본적으로 로그인 성공 후 '/'로 이동하도록 설정
                		//.loginPage("/my-login") 직접 로그인 페이지 사용할 경우 설정
                        .usernameParameter("my-username") //username input 태그의 name 설정, default는 username
                        .passwordParameter("my-password") //password input 태그의 name 설정, default는 password
                        .permitAll()) //로그인 페이지에 대해서는 모든 사용자에게 허용
                .logout(auth -> auth
                		.logoutRequestMatcher(new AntPathRequestMatcher("/logout")) //"/logout" 경로로 요청이 들어올 경우 로그아웃 처리를 수행
                        .logoutSuccessUrl("/") //로그아웃이 성공하면 '/'로 이동하도록 설정
                        .invalidateHttpSession(true) //로그아웃 시 세션을 무효화
                        .clearAuthentication(true)) //로그아웃 시 사용자의 인증 정보를 제거
                .rememberMe(auth -> auth
                		.key("my-remember-me") //사용자 정보를 담고있는 쿠키에 대한 고유 식별키 설정 (미설정시 랜덤값 설정)
                		.rememberMeParameter("remember-me") //쿠키 파라미터명 설정, default는 remember-me
                        .tokenValiditySeconds(300)) //자동 로그인 상태의 유효기간을 300초로 지정
                .build();
    }
}

• Spring Security를 사용하여 웹 보안을 구성하는 스프링 설정 클래스
• userDetailsManager() 메서드는 메모리 기반 사용자 저장소를 사용하여 사용자 인증과 권한을 부여함
  • 실제 서비스에서는 데이터베이스 저장소에 사용자 정보를 저장하도록 구성해야함
  • InMemoryUserDetailsManager 객체는 UserDetailsPasswordService 인터페이스 구현체
  • 최초 로그인 1회 성공시, {noop} 타입에서 {bcrypt} 타입으로 PasswordEncoder가 변경되고, 비밀번호가 암호화됨
  • {noop}은 비밀번호를 암호화하지 않고 그대로 사용한다는 의미이며, 이러한 prefix 부분을 설정해야함
• filterChain() 메서드는 Spring Security의 필터 체인을 구성하는 데 사용
  • HttpSecurity 객체는 웹 보안에 대한 설정을 구성할 수 있도록 도와주는 인터페이스
  • http.authorizeHttpRequests()는 요청에 대한 인증 및 권한 부여를 구성
  • http.formLogin()는 로그인 페이지를 제공
  • http.logout()는 로그아웃 기능을 제공
  • http.rememberMe()는 자동 로그인 기능을 제공

DelegatingPasswordEncoder

{bcrypt}$2a$10$dXJ3SW6G7P50lGmMkkmwe.20cQQubK3.HZWzG3YB1tlRy.fqvM/BG
{noop}password
{pbkdf2}5d923b44a6d129f3ddf3e3c8d29412723dcbde72445e8ef6bf3b508fbf17fa4ed4d6b99ca763d8dc
{sha256}97cde38028ad898ebc02e690819fa220e88c62e0699403e94fff291cfffaf8410849f27605abcbc0

• DelegatingPasswordEncoder 클래스는 패스워드 해시 알고리즘별로 PasswordEncoder를 제공
• 해시 알고리즘별 PasswordEncoder 선택을 위해 패스워드 앞에 prefix({noop})를 추가함
• Spring Security에서는 DelegatingPasswordEncoder 클래스가 기본 PasswordEncoder로 사용됨
• prfiex 부분이 생략되는 경우 기본 PasswordEncoder로 bcrypt가 사용됨
• DelegatingPasswordEncoder 대신 다른 인코더(BCryptPasswordEncoder)가 필요하다면, 해당 클래스를 명시적으로 Bean 선언하면됨