Spring security 적용 회원가입, 로그인

[recordbuffer]

• [x] Spring seurity 설정
• [x] 회원 가입
  • [x] 화면 구현
  • [x] 기능 구현 ver1 [일반 회원가입]
  • [x] 중복 체크
  • [x] 비밀번호 해싱
  • [x] 기능 구현 ver2 [JWT]
• [x] 로그인 / 로그아웃
  • [x] 화면 구현
  • [x] 기능 구현

[recordbuffer]

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .csrf().disable()
                .authorizeRequests()
                .anyRequest().permitAll();
    }
}

[recordbuffer]

csrf (cross site request forgery) : 사이트간 위조 요청 인증된 사용자가 위조된 요청을 보냈을 경우 파악해 방지하는 것

✅ disable 이유? rest api 에서는 권한이 필요한 요청위해서 인증 정보를 포함시켜야 함 서버에 인증정보 저장하지 않기 때문에 작성할 필요 없음 (JWT를 쿠키에 저장하지 않기 때문)

[recordbuffer]

    implementation 'org.springframework.boot:spring-boot-starter-validation'

회원가입 vaildation 추가

• 프론트단과 백단 모두에 추가해줌
  • 동일한 이메일 중복 체크

[recordbuffer]

HTTP Basic Authentication

특정 리소스에 접근 요청할 때 브라우저가 사용자에게 username, password를 확인해 인가 제한하는 인증 방법

• 동작 방법

  • 1. 인증되지 않은 유저가 제한된 요청 보냄
  • 2. 서버는 username, password 요청
  • 3. 클라이언트는 username, password을 담아 다시 요청
  • 4. 일치하면 200 코드 실패하면 401 에러

• 특징

  • 구현 간단
  • 쿠키, 세션 필요하지 않음
  • 에러가 나면 401 에러 보냄
  • logout 제공 안함
  • 보안에 취약
  • HTTPS와 사용 필수
  • 민감한 리소스 사용하지 않아야 함

Form Based Authentication

사용자가 입력한 데이터를 POST방식으로 전달해 인증하는 방법

• 동작 방법

  • 1. 인증되지 않은 유저가 제한된 요청 보냄
  • 2. 서버는 login page로 보냄
  • 3. 클라이언트는 username, password을 담아 POST방식으로 다시 요청
  • 4. 서버에서 인증한 후 session id 생성해 클라이언트에 보내줌
  • 5. 클라이언트는 접근 제한된 리소스 요청 때마다 쿠키 같이 전달

• 특징

  • 가장 흔히 쓰이는 인증 방법
  • SPA 보다 SSR에서 많이 사용
  • 데이터 보호를 위해 SSL, HTTPS와 함께 사용해야 함
  • public REST endpoints app에는 맞지 않음

[recordbuffer]

JWT (Json Web Token)

• 구조

  • 헤더
  • 타입 : 항상 JWT
  • 알고리즘
  • 페이로드 : 사용자 정보가 담김
  • 서명

• 동작 방법

  • 1. 클라이언트측에서 부터 서버측으로 JWT 받음
  • 2. 서버측의 비밀 값과 JWT의 헤더, 페이로드를 alg에 넣고 서명값과 같은지 확인
  • 3. 같다면 유저에 인가

• 특징

  • 시간에 따라 상태값이 달라지지 않음 (Stateless)
  • 서버가 통제하지 않아 여러 사용자가 같은 JWT로 여러 요청 보내도 추적 불가능

[recordbuffer]

Spring Security

스프링에서 필터를 사용해 유저 인증 / 인가 등 보안 기능을 쉽게 하도록 제공하는 프레임워크

HTTP 요청이 들어오면 DelegatingFilterProxy를 통해 Spring Security Filter Chain이 생성된다. 이는 요청 단위의 보안을 제공하는데 이 작업의 요청이 어떻게 처리되어야 하는지 결정된다. 모든 필터를 통과하면 각 요청은 등록된 Controller로 도달한다. 이후 서비스단으로 가기 전에 스프링 시큐리티는 AOP를 통해 메소드 단위로 권한 부여를 수행한다.