스프링 시큐리티 예시 프로젝트 및 세부기능 설명

안녕하세요, 이번 포스팅에서는 스프링부트 3.1 이상 버전 및 Spring Security 6.1.5를 사용하면서 경험한 도전과 해결 과정을 공유합니다. 이 글은 특히 SecurityConfig 설정에 초점을 맞추고 있으며, 공식 문서에서 다루지 않는 세부사항과 예상치 못한 오류들에 대해 다룹니다.

프로젝트 구성 및 의존성 추가

dependency 추가

• Maven project - pom.xml

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

• Gradle project - build.gradle

implementation 'org.springframework.boot:spring-boot-starter-security'

스프링 시큐리티 의존성 추가 시 발생하는 일들

스프링 시큐리티가 초기화되고, 기본 웹 보안 기능이 시스템에 통합됩니다. 기본적으로, 모든 요청은 인증이 필요하며, 폼 로그인과 httpBasic 로그인 방식이 제공됩니다. 기본 로그인 페이지와 계정(user/랜덤문자열)도 제공됩니다.

1. 모든 요청은 인증이 되어야 자원에 접근이 가능하다.
2. 인증 방식은 폼 로그인 방식과 httpBasic로그인 방식을 제공한다.
3. 기본 로그인 페이지 제공 (로그인 페이지 설정 따로 안하면 여기로만 옴)
4. 기본 계정 한 개 제공 user/랜덤문자열랜덤문자열
   
   
   

기본 로그인 화면

 

• spring security로 만들어지는 계정 비밀번호

참고: 개발도중 매번 생성되는 랜덤문자열/계정으로 로그인하는것은 까다롭다. application.properties에 기본 name/password설정이 가능하다.

• (PasswordEncoder Bean 추가하면 그거에맞춰서 비밀번호 형태도 바꿔줘야함)

spring.security.user.name=user
spring.security.user.password=1234

문제점

• 계정 추가, 권한 추가, DB 연동 등
• 기본적인 보안 기능 외에 시스템에서 필요로 하는 더 세부적이고 추가적인 보안기능 필요.

사용자 정의 보안 기능 구현

WebSecurityConfigurerAdapter를 사용해 HttpSecurity를 통한 세부 보안 기능을 설정할 수 있습니다. 예를 들면, http.authorizeRequests(), http.formLogin() 등의 API를 통해 보안을 강화할 수 있습니다.

HttpSecurity 라는 세부적인 보안기능을 설정할수 있는 API를 제공하는 클래스를 생성한다.

인증 API	인가 API
http.formLogin()	http.authorizeRequests()
http.logout()	http.antMatchers("/admin")
http.csrf()	http.hasRole("USER")
http.httpBasic()	http.permitAll()
http.sessionManagement()	http.authenticated()
http.rememberMe()	http.fullyAuthenticated()
http.exceptionHandling()	http.access("hasRole('USER')")
http.addFilter()	http.denyAll()

SecurityConfig 설정 예시

@Configuration
@EnableWebSecurity
public class SecurityConfig {
      @Bean  
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {  
        http  
                .authorizeHttpRequests(request -> request  
                        .requestMatchers(new AntPathRequestMatcher("/login")).permitAll()  
                        .requestMatchers(new AntPathRequestMatcher("/user/register")).permitAll()  
                        .requestMatchers(new AntPathRequestMatcher("/user/password")).permitAll()  
                        .requestMatchers(new AntPathRequestMatcher("/status")).permitAll()  
                        .requestMatchers(new AntPathRequestMatcher("/view/join")).permitAll()  
                        .requestMatchers(new AntPathRequestMatcher("/auth/join")).permitAll()  
                        .requestMatchers(new AntPathRequestMatcher("/home")).permitAll()  
                        .requestMatchers(new AntPathRequestMatcher("/dist/css/**")).permitAll()  
                        .requestMatchers(new AntPathRequestMatcher("/dist/js/**")).permitAll()  
                        .requestMatchers(new AntPathRequestMatcher("/dist/img/**")).permitAll()  
                        .requestMatchers(new AntPathRequestMatcher("/plugins/**")).permitAll()  
                        .anyRequest().authenticated() // 그 외 모든 요청은 인증 필요  
                )  
                .formLogin(formLogin -> formLogin  
                        .loginPage("/login")  
                        .loginProcessingUrl("/login-process")  
                        .usernameParameter("loginId")  
                        .passwordParameter("password")  
                        .defaultSuccessUrl("/", true)  
                        .failureHandler(new CustomAuthenticationFailureHandler())  
                        .permitAll()  
                )  
                .logout(Customizer.withDefaults());  


        return http.build();  
    }  


    @Bean      // 이걸 주석하면 passwordEncoder로 암호화가 되질 않습니다.
    public PasswordEncoder passwordEncoder() {  
        return new BCryptPasswordEncoder();  
    }  

}

• @EnableWebSecurity 애노테이션을 WebSecurityconfigurerAdapter 를 상속하는 설정 객체에 붙혀주면 SpringSecurityFilterChain에 등록된다.

🚀참고: @EnableWebMvcSecurity

스프링 MVC에서 웹 보안을 활성화하기 위한 애너테이션으로 핸들러 메소드에서 @AuthenticationPrincipal 애노테이션이 붙은 매개변수를 이용해 인증처리를 수행한다. 그리고 자동으로 CSRF 토큰을 스프링의 form binding tag library를 사용해 추가하는 빈을 설정한다.

오류해결

https://jakezo.tistory.com/26

[Spring Security 6.1.5 버전 오류 문제 해결

안녕하세요, Spring Security에 관한 오늘의 블로그 글에서는 Spring Security 설정 중 발생할 수 있는 일반적인 오류와 이를 해결하는 방법에 대해 이야기해보려 합니다. 특히, AntPathRequestMatcher와 MvcReques

jakezo.tistory.com](https://jakezo.tistory.com/26)

Form Login 인증

Login Flow

1. Client에서 Get방식으로 Home Url자원접근 요청
2. Server에서는 인증된 사용자만 접근가능하다고 판단해 인증이 안되면 로그인 페이지로 리다이렉트
3. Client는 로그인페이지의 username/password 입력하여 Post방식으로 인증 시도
4. Server에서는 Session ID생성후 인증결과를 담은 인증 토큰(Authentication) 생성 및 저장
5. Client에서 /home 접근요청 시 세션에 저장된 인증 토큰으로 접근및 인증 유지

UsernamePasswordAuthenticationFilter

로그인 인증을 처리하는 필터로, 사용자가 입력한 사용자 이름과 비밀번호를 인증 객체에 저장하고, 인증 관리자(AuthenticationManager)에게 인증을 요청합니다. 인증 성공 시, SecurityContext에 인증 객체를 저장합니다.

Logout 처리 및 LogoutFilter

• Flow Diagram

1. Client에서 GET방식의 /logout 리소스 호출
2. Server에서 세션무효화, 인증토큰 삭제, 쿠키정보 삭제 후 로그인페이지로 리다이렉트

• Logout Flow Detail
  

1. 요청이 Logout Url 인지 확인
2. 맞을 경우 SecurityContext에서 인증객체(Authentication)객체를 꺼내옴
3. SecurityContextLogoutHandler에서 세션 무효화, 쿠키삭제, clearContext()를통해 SecurityContext객체를 삭제하고 인증객체도 null로 만든다.
4. SimpleUrlLogoutSuccessHandler를 통해 로그인페이지로 리다이렉트 시킨다.

로그인 실패시 구현 예시

 

https://jakezo.tistory.com/25