[BE] Feat : Member #01 Spring Security Setting

[j00r6]

• Spring Security 적용하여 JWT 로그인 방식 활용
• 추후 Oauth 까지 적용 예정

• 1월 8일 도메인 회의 후 추가 구현내역 작성 예정

  2 에 구현된 목록

  • [x] SecurityConfiguration
  • [x] Member Entity
  • [x] Member Dto (회원가입, 로그인)

다음 단계

• Member 일반 회원 회원가입 구현 (Controller, Service)

[j00r6]

1월 8일 회의 이후 Member 개발 필요 내역

확정

• 마이페이지 구현 X > 뷰 페이지 축소
• 로그인과 회원가입시 JWT 토큰 방식 구현
• Oauth 구현 (구글, 카카오 우선 구현)
• 권한별 페이지 접근 (공지사항 Admin 접근)

미정

• 로그인시 인증 이메일 or 핸드폰 구현 여부

[j00r6]

개발시 문제 발생 및 해결

문제 1. Spring Security 버전 이슈 - 기존에 학습한 작성법과 다른 Lambda 형식의 작성법

💬 공식문서를 참조한 결과 기존의 작성방식과 다르게 Lambda 형식으로 작성이됨을 확인하고 해당 형태로 변경

주요 변경점

1. antMatchers, mvcMatcher, pathMatcher > requestMatcher, securityMatcher로 대체
2. Lambda 형식으로 작성

ref. Spring 공식문서

---

Spring Security 공부

1. Spring Security에서 권한 정보를 인식하기 위해서는 ROLE_<권한명> 형식을 사용하여야 한다.

2. FilterChain 설정 중 CSRF 관련 설정은 쿠키와 세션방식을 활용할때 사용하던 설정으로 최근에 사용되는 Token 기반 인증방식에서는 disable 처리한다.

3. FilterChain 설정 중 frameoption 관련 설정은 frame, iframe, object 등의 HTML 태그를 활용한 clickJacking 공격 방지를 위한 설정이다.

4. 다중 FilterChain 구성 시 각각의 FilterChain 마다 authorizeHttpRequests를 활용하여 인증/인가 처리를 구현할 수 있고 각각의 FilterChain 마다 configurationSource를 Custom 하여 CORS 설정을 할수 있다. (ref. Spring 공식문서)

5. Spring Security 활용의 중점은 Filter 들을 어떻게 Custom 하여 활용하느냐 Custom 된 Filter 들을 활용하여 어떠한 순서로 FilterChain을 구성하느냐가 중요하다. 그러기위해선 Security 내부의 Filter 들을 들여다보고 대략적인 흐름을 파악할 필요가 있다.

[j00r6]

블로그에 다시 정리

Security 5와 6 세부 변경점