[Spring Security] 구현 하기

[cheeseLupin]

시큐리티 구현은 java기반과 xml기반이 있다.

• LookSt는 xml 기반으로 작업하였다.

• 의존성 추가 방법은 gradle과 maven 두 가지 모두 가능하지만, LookSt는 maven을 사용하므로 maven에 의존성을 주입해주었다.

1. 시큐리티 의존성 추가 - pom.xml

properties 추가

        <spring.maven.artifact.version>4.3.25.RELEASE</spring.maven.artifact.version>
        <egovframework.rte.version>3.10.0</egovframework.rte.version>
        <security.version>5.6.9</security.version>

dependencies 추가

    <dependency>
        <groupId>org.springframework.security</groupId>
        <artifactId>spring-security-core</artifactId>
        <version>${security.version}</version>
    </dependency>
    <dependency>
        <groupId>org.springframework.security</groupId>
        <artifactId>spring-security-web</artifactId>
        <version>${security.version}</version>
    </dependency>
    <dependency>
        <groupId>org.springframework.security</groupId>
        <artifactId>spring-security-config</artifactId>
        <version>${security.version}</version>
    </dependency>
    <dependency>
        <groupId>org.springframework.security</groupId>
        <artifactId>spring-security-taglibs</artifactId>
        <version>${security.version}</version>
    </dependency>
    <dependency>
        <groupId>org.springframework.security</groupId>
        <artifactId>spring-security-test</artifactId>
        <version>${security.version}</version>
    </dependency>

[cheeseLupin]

2. 필터를 이용하여 스프링 MVC에서 시큐리티 사용하기 - web.xml 설정

시큐리티를 사용하는 가장 큰 이유인 보안 절차를 위해, 웹에서 보내는 모든 요청이 spring security 필터를 거쳐가도록 해야 한다. (이것은 web.xml에 필터를 이용하여 구현이 가능하다.)

1. security 기능을 담당하는 security-context.xml을 <context-param>에 추가 하기
2. spring security 필터 생성 하기

web.xml -> <context-param> 변경 전

    <!-- The definition of the Root Spring Container shared by all Servlets and Filters -->
    <context-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>/WEB-INF/spring/root-context.xml</param-value>
    </context-param>

web.xml -> <context-param> 변경 후

    <context-param>
        <param-name>contextConfigLocation</param-name>
        <param-value>
            /WEB-INF/spring/root-context.xml
            /WEB-INF/spring/security-context.xml
        </param-value>
    </context-param>

스프링 시큐리티 필터 생성

• 스프링 시큐리티 필터 생성 시, 한글 변환 필터 하단에 생성해주어야 한글 변환 필터가 시큐리티에 적용된다.

  <!-- 보안 절차를 위해 모든 요청이 spring security 필터를 거쳐가도록 하기 -->
  <filter>
      <filter-name>springSecurityFilterChain</filter-name>
      <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
  </filter>
  
  <filter-mapping>
    <filter-name>springSecurityFilterChain</filter-name>
    <url-pattern>/*</url-pattern>
  </filter-mapping>

[cheeseLupin]

3. XML 파일 생성 - security-context.xml

security-context에서 시큐리티 기능에 관한 설정을 할 수 있다.

• 기존 memberController에서 사용하던 로그인, 로그아웃 기능을 이곳에서 재설정 해주었다.
• 시큐리티 로그인의 경우 필수적으로 들어가야 하는 요소가 있는데, 패스워드 암호화가 되어있지 않으면 로그인이 되지 않는다. (DB를 이용한 로그인 시에도 동일하다.)

security-context.xml 전체 코드

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
    xmlns:security="http://www.springframework.org/schema/security"
    xsi:schemaLocation="http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd
                        http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
<bean id="bcryptPasswordEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder" />
<bean id="customUserDetailsService" class="kr.co.lookst.member.CustomUserDetailsService" />
<bean id="loginSuccess" class="kr.co.lookst.member.LoginSuccessHandler" />

<bean id="grantedAuthorityDefaults" class="org.springframework.security.config.core.GrantedAuthorityDefaults">
    <constructor-arg value="" />
</bean>

    <security:http auto-config="true" use-expressions="true">
        <!-- <security:intercept-url pattern="/member/*" access="hasRole('ROLE_MEMBER')"/> -->
        <security:intercept-url pattern="/member/login" access="permitAll"/>
        <security:intercept-url pattern="/member/loginCheck" access="permitAll"/>
        <security:intercept-url pattern="/member/register" access="permitAll"/>
        <security:intercept-url pattern="/member/idCheck" access="permitAll"/>
        <security:intercept-url pattern="/member/**" access="hasAnyRole('member', 'seller', 'admin')"/>
        <security:intercept-url pattern="/partner/**" access="hasAnyRole('member', 'seller', 'admin')"/>
        <security:intercept-url pattern="/**/write" access="hasAnyRole('member', 'seller', 'admin')"/>
        <security:intercept-url pattern="/seller/**" access="hasRole('seller')"/>
        <security:intercept-url pattern="/admin/**" access="hasRole('admin')"/>

        <security:form-login login-page="/member/login"
                             login-processing-url="/member/login"
                             username-parameter="member_id"
                             password-parameter="member_pw"
                             authentication-success-handler-ref="loginSuccess"
                             />

        <security:csrf disabled="false" />
        <security:access-denied-handler error-page="/member/accessError" />
        <security:logout logout-url="/member/logout"
                         logout-success-url="/" />
    </security:http>

    <security:authentication-manager>
        <security:authentication-provider user-service-ref="customUserDetailsService">
            <security:password-encoder ref="bcryptPasswordEncoder"/>
        </security:authentication-provider>
    </security:authentication-manager>

</beans>

[cheeseLupin]

3-1. 각 코드는 어떤 기능을 담당하는가?

1) 시큐리티 기능을 이용하기 위한, 시큐리티 bean 설정 하기

• LookSt에서는 bean 명칭을 security로 작성해주었기 때문에, 이후에 나오는 http 태그, authentication-manage 태그 등을 이용할 때 <security:http>의 형태로 작성한다.

  <beans xmlns="http://www.springframework.org/schema/beans"
  xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
  xmlns:security="http://www.springframework.org/schema/security"
  xsi:schemaLocation="http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd
                      http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">

2) 비밀번호 인코딩/디코딩을 위한 BcryptPasswordEncoder bean 설정 하기

• BCryptPasswordEncoder는 BCrypt 해싱 함수(BCrypt hashing function)를 사용해서, 비밀번호를 인코딩해주는 메서드, 사용자의 의해 제출된 비밀번호와 저장소에 저장되어 있는 비밀번호의 일치 여부를 확인해주는 메서드를 제공한다.

  <bean id="bcryptPasswordEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder" />

3) DB를 이용한 시큐리티 로그인을 하기 위해 customUserDetailsService bean 설정 하기

• DB를 이용한 로그인 기능을 xml에서 설정할 경우 많은 제약이 있다. 그래서 별도의 java 클래스를 구성하여 mybatis를 이용한 로그인 기능을 구현하기 위해 해당 설정이 필요하다.

  <bean id="customUserDetailsService" class="kr.co.lookst.member.CustomUserDetailsService" />

4) 로그인 후 권한에 따른 페이지 이동을 하기 위해 login Success bean 설정 하기

• 로그인 성공 시 특정 페이지로 이동시키려면 LoginSuccessHandler를 별도로 생성해주면 된다.

  <bean id="loginSuccess" class="kr.co.lookst.member.LoginSuccessHandler" />

5) 권한에 ROLE_이 붙지 않아도 권한 기능을 이용하도록 grantedAuthorityDefaults bean 설정 하기

• 시큐리티 권한은 ROLE_MEMBER와 같이 auth 컬럼이 ROLE_로 시작해야 권한 기능이 제대로 작동한다.
• LookSt는 기존에 권한 테이블에 권한 명칭을 member, seller, admin으로 설정하였기 때문에, 그대로 사용하면 권한 기능이 작동하지 않았다.
• mybatis mapper, DB 데이터, 시큐리티 설정 등을 모두 변경하는 것은 비효율적이므로, ROLE_이 붙지 않아도 권한 기능을 이용할 수 있도록 grantedAuthorityDefaults bean을 설정해주었다.

  <bean id="grantedAuthorityDefaults" class="org.springframework.security.config.core.GrantedAuthorityDefaults">
  <constructor-arg value="" />
  </bean>

  6) 시큐리티 설정을 위한 http 태그 설정하기

• auto-config='true' 설정 시 기본 로그인 페이지 / HTTP 기본 인증 / 로그아웃 기능 등을 제공한다. use-expressions="true" 는 SpEL을 사용한다는 의미이다.
• http 태그 안에서 다양한 시큐리티 설정을 할 수 있다.

  <security:http auto-config="true" use-expressions="true">
      ···
  </security:http>   

[cheeseLupin]

3-2. HTTP 태그에서 시큐리티 설정하기

    <security:http auto-config="true" use-expressions="true">
        ···
    </security:http>  

다음은 3-1, 6)에서 작성한 http 태그 안에 들어가는 코드에 관한 설명이다.

1) 각 url 접근 권한 설정

• pattern에 URL을 기입하고 access에는 사용 가능한 권한을 기입해줄 수 있다. 권한이 없을 경우 해당 URL로 접근이 불가능하다.
• 요청 URL에서 해당 권한이 없을 때, -> 로그인이 필요하면 로그인 페이지로 이동 -> 로그인이 되어있는데, 권한이 없을 경우 에러 페이지로 이동 시킨다. (에러 페이지로 이동하는 설정은 하단에 별도로 작성 한다.)
• permitAll : 모든 권한의 유저가 접근 가능 (비로그인 포함) hasRole('auth') : auth에 작성되어 있는 특정 권한을 가진 로그인 사용자만 접근 가능 hasAnyRole('auth1', 'auth2', 'auth3') : auth에 작성되어 있는 권한들을 가진 로그인 사용자들은 모두 접근 가능

      <security:intercept-url pattern="/member/login" access="permitAll"/>
      <security:intercept-url pattern="/member/loginCheck" access="permitAll"/>
      <security:intercept-url pattern="/member/register" access="permitAll"/>
      <security:intercept-url pattern="/member/idCheck" access="permitAll"/>
      <security:intercept-url pattern="/member/**" access="hasAnyRole('member', 'seller', 'admin')"/>
      <security:intercept-url pattern="/partner/**" access="hasAnyRole('member', 'seller', 'admin')"/>
      <security:intercept-url pattern="/**/write" access="hasAnyRole('member', 'seller', 'admin')"/>
      <security:intercept-url pattern="/seller/**" access="hasRole('seller')"/>
      <security:intercept-url pattern="/admin/**" access="hasRole('admin')"/>

2) 로그인 페이지 적용

• 시큐리티에서 기본으로 제공하는 로그인 페이지가 아닌 LookSt에서 사용하던 로그인 페이지를 이용하기 위해, 해당 코드를 기입해주었다.

      <security:form-login login-page="/member/login"
                           login-processing-url="/member/login"
                           username-parameter="member_id"
                           password-parameter="member_pw"
                           authentication-success-handler-ref="loginSuccess"
                           />

• login-page : 로그인 페이지로 이용하는 url을 입력해주고, member controller에서 기존에 사용하던 get 방식의 클래스를 이용해 로그인 jsp로 이동 시켜준다.

  @GetMapping("/login")
  public String getLogin() throws Exception {
      return "member/login";
  }

• login-processing-url : 로그인 jsp에서 form action에 기입한 url를 post 방식으로 submit할 때, action에 기입한 url과 login-processing-url을 동일하게 작성해주어야 시큐리티 로그인이 작동된다. 기존 memberController에서 이용하던 로그인 기능의 Post Mapping이라고 생각하면 된다.
• username-parameter="member_id", password-parameter="member_pw" : 시큐리티에서는 아이디와 비밀번호를 usernamer과 password로 작성해주어야 인식을 하는데, LookSt에서는 member_id, member_pw로 작성했기 때문에 시큐리티에서 인식할 수 있도록 파라미터를 수정해야 한다.
  • authentication-success-handler-ref="loginSuccess" : 로그인 성공 시 특정 페이지로 이동시키기 위해 Handler 생성 및 bean 설정 후, 생성한 bean id를 기입해준다. 3-1, 4)에서 작성한 <bean id="loginSuccess" class="kr.co.lookst.member.LoginSuccessHandler" />

loginSuccess 에서 사용할 클래스는 kr.co.lookst.member 경로에 LoginSuccessHandler로 클래스를 생성해주었다.

package kr.co.lookst.member;

import java.io.IOException;
import java.util.ArrayList;
import java.util.List;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.security.core.Authentication;

public class LoginSuccessHandler implements org.springframework.security.web.authentication.AuthenticationSuccessHandler {

    @Override
    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response,
            Authentication auth) throws IOException, ServletException {

        System.out.println("Login Success");

        List<String> roleNames = new ArrayList<>();
        auth.getAuthorities().forEach(authority -> {
            roleNames.add(authority.getAuthority());
        });

        System.out.println("ROLE NAMES: " + roleNames);

        if(roleNames.contains("admin")) {
            // admin 권한을 가진 사용자가 이동할 url
            response.sendRedirect("/lookst/admin/member_management");
            return;
        }

        if(roleNames.contains("member")) {
                // member 권한을 가진 사용자가 이동할 url
            response.sendRedirect("/lookst");
            return;
        }

        // 선언하지 않은 권한의 회원이 이동할 url
        response.sendRedirect("/lookst");
    }

}

3) csrf토큰 사용 여부 설정

• csrf 토큰을 사용하면 공격자가 무단으로 사용자의 정보를 가지고 웹사이트에 악성 요청하는 것을 방지할 수 있다. (자세한 설명은 구글링 참조)

      <security:csrf disabled="false" />

• false로 설정 시에만 csrf 토큰이 활성화 된다. (default 값이 false였던 것으로 기억함)

4) 에러페이지 이동

• 권한이 없는 경우 없다고 알려주기 위해 제작한 페이지로 이동시키기 위해 작성하였다.

      <security:access-denied-handler error-page="/member/accessError" />

  에러페이지로 사용하는 메서드

• 별도의 클래스를 생성하지 않고 memberController에 선언해주었다.
• (현재 세부 내용은 미작성 상태이다.)

  //권한이 없는 경우 노출될 에러 페이지 (403에러 대신 노출)
  @GetMapping("/accessError")
  public void accessDenied(Authentication auth, Model model) {
      model.addAttribute("msg", "Access Denied");
  }

  에러페이지로 사용하는 jsp

  
  <%@ page language="java" contentType="text/html; charset=UTF-8"
  pageEncoding="UTF-8"%>
  <%@ taglib uri="http://java.sun.com/jsp/jstl/core" prefix="c" %>
  <%@ taglib uri="http://www.springframework.org/security/tags" prefix="sec" %>
  <%@ page import="java.util.*" %>
  <!DOCTYPE html>
  <html>
  <head>
  <meta charset="UTF-8">
  <title>Insert title here</title>
  </head>
  <body>
  <h1>Access Denied Page</h1>

**5) 로그아웃 기능 구현**

    <security:logout logout-url="/member/logout"
                     logout-success-url="/" />

 - logout-url : 로그아웃 버튼을 누를 때 사용하는 url 주소를 기입해주면 된다. (post 방식만 사용 가능하다.)
 - logout-success-url="/" : 로그아웃 시 홈으로 이동하기 위해 사용하는 링크

LookSt에서 사용하는 로그아웃 버튼에 대한 코드이다.
csrf토큰을 input 형태로 넣어주어야 post 방식이 작동된다.

                <form action="${contextPath}/member/logout" method="post" id="logout">
                    <input type="hidden" name="${_csrf.parameterName}" value="${_csrf.token}" />
                    <a class="dropdown-item" type="submit" onclick="document.getElementById('logout').submit();">LOGOUT</a>
                </form>

[cheeseLupin]

4. DB를 이용한 시큐리티 로그인 구현하기

1) DB 연동하기

    <security:authentication-manager>
        <security:authentication-provider user-service-ref="customUserDetailsService">
            <security:password-encoder ref="bcryptPasswordEncoder"/>
        </security:authentication-provider>
    </security:authentication-manager>

• authentication-provider user-service-ref : 3-1, 3)에서 생성한 bean (customUserDetailsService)을 기입해주면 로그인 시 해당 클래스를 호출하여 로그인 처리를 진행한다.
• password-encoder ref : 비밀번호 디코딩을 해야하기 때문에 bcryptPasswordEncoder를 작성해주어야한다.

2) CustomUserDetailsService 클래스 구현

package kr.co.lookst.member;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;

import kr.co.lookst.member.domain.CustomUser;
import kr.co.lookst.member.domain.MemberDto;
import kr.co.lookst.member.service.MemberService;
import lombok.Setter;

public class CustomUserDetailsService implements UserDetailsService {

    @Setter(onMethod_ = {@Autowired })
    private MemberService service;

    @Override
    public UserDetails loadUserByUsername(String member_id) throws UsernameNotFoundException {
        System.out.println("load user by member_id : " + member_id);

        MemberDto dto = service.read(member_id);

        System.out.println("querued by member mapper : " + dto);

        return dto == null ? null : new CustomUser(dto);
    }
}

3) CustomUser 클래스 구현

package kr.co.lookst.member.domain;

import java.util.Collection;
import java.util.stream.Collectors;

import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.core.userdetails.User;

import lombok.Data;
import lombok.ToString;

@Data
@ToString
public class CustomUser extends User{

    private static final long serialVersionUID = 1L;

    private MemberDto memberDto;

    public CustomUser(String member_id, String member_pw, boolean enabled, Collection<? extends GrantedAuthority> authorities) {
        super(member_id, member_pw, authorities);
    }

    public CustomUser(MemberDto dto) {
        super(dto.getMember_id(), dto.getMember_pw(), dto.getAuthList().stream().map(auth -> new SimpleGrantedAuthority(auth.getMem_auth_auth())).collect(Collectors.toList()));
        this.memberDto = dto;
    }

}