Spring Security를 이용한 Auth 구현
앞서 Spring Security를 사용하지 않고 Interceptor를 이용한 A/A 구현 및 Spring Security의 구조 등을 살펴보았습니다. 이 포스트에서는 이를 기반으로 Spring Security를 이용하여 A/A 기능을 구현해 보도록 하겠습니다.
(1) Maven dependency추가
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
(2) Spring-security config
보안 흐름을 정의하기 위해서 WebSecurityConfigurerAdapter를 확장합니다. 여기에서 다음과 같은 설정들을 할 수 있습니다.
- 어떤 요청에 대해서 인증을 요구할 것인지
- 특정 요청에 대해서 어떤 권한을 요구할 것인지
- 인증되지 않은 요청을 어떤 url로 redirect 시킬지
- 로그인이 성공하면 어느 화면으로 이동시킬지
- logout 요청 시 어떤 작업을 수행시킬지
- 권한이 맞지 않아 403 에러가 발생할 경우 어떻게 처리할지
- Authentication 정보(username, password)가 유효한 정보인지 체크하는 방법
@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
@Autowired
private AuthProvider authProvider;
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.csrf().disable()
.authorizeRequests()
.antMatchers("/", "/main").permitAll()
.antMatchers("/admin/*").hasAuthority("ADMIN")
.anyRequest().authenticated()
.and()
.formLogin()
.loginPage("/login")
.usernameParameter("userId")
.successHandler(new LoginSuccessHandler("/home"))
.permitAll()
.and()
.logout()
.invalidateHttpSession(true)
.deleteCookies("JSESSIONID")
.permitAll()
.and()
.authenticationProvider(authProvider)
.exceptionHandling().accessDeniedHandler(accessDeniedHandler());
}
}
- 11라인 : authorizeRequest() 요청에 대한 인증/권한 설정을 담당합니다.
- 12라인 : "/", "main" 요청은 인증 체크를 하지 않습니다.
- 13라인 : "admin/*"에 해당하는 요청은 "ADMIN" 권한이 있어야 접근 가능합니다.
- 14라인 : 위에서 정의한 요청을 제외한 모든 요청에 대해서 인증을 요구합니다.
- 16라인 : 로그인 관련 설정을 담당합니다.
- 17라인 : 아직 인증 전 상태이며 인증을 요구하는 요청이라면 "/login"으로 redirect 시킵니다.
- 18라인 : 앞서 말했듯 Spring-security는 기본적으로 로그인 폼으로부터 오는 데이터를 username과 password로 인식하고 있습니다. 따라서 jsp에서 input의 name을 username/password로 일치시켜주어야 합니다.
<form action="/login" method="post">
<input type="text" id="username" name="username"/>
<input type="password" id="password" name="password"/>
<button type="submit">Log in</button>
</form>
이를 변경하길 원한다면, usernameParameter, passwordParameter 설정을 해주어야 합니다. 이 글에서는 username대신 loginId로 명명했기 때문에 usernameParameter 설정을 했습니다.
<form action="/login" method="post">
<input type="text" id="loginId" name="loginId"/>
<input type="password" id="password" name="password"/>
<button type="submit">Log in</button>
</form>
- 19라인 : 인증에 성공했을 때 어떤 URL로 Redirect 시킬지 정의합니다. 이를 위해 AuthenticationSuccessHandler를 구현했고, 자세한 내용은(3) AuthenticationSuccessHandler 구현에 있습니다.
- 22라인 : 로그아웃 관련 설정을 담당합니다.
- 23라인 : 로그아웃 요청이 오면 Session을 무효화합니다.
- 24라인 : 로그아웃 요청이 오면 키-JSESSIONID로 저장된 쿠키를 제거합니다.
- 27라인 : 로그인 폼으로부터 오는 데이터가 유효한 계정 정보인지를 판단하기 위해 AuthenticationProvider를 구현했고, 자세한 내용은 (4) AuthenticationProvider 구현에서 다루겠습니다.
- 28라인 : 인증에는 성공했으나 권한이 맞지 않을 경우 실행될 Handler를 등록합니다. 이는 (5) AccessDeniedHandler 구현에서 다루겠습니다.
(3) AuthenticationSuccessHandler 구현
인증 성공 후에 Redirect 시킬 URL을 설정하기 위해 AuthenticationSuccessHandler를 구현해야 합니다. Spring-security는 AuthenticationSuccessHandler의 구현체인 SavedRequestAwareAuthenticationSuccessHandler를 내장하고 있습니다.
따라서 config에서 별도의 successHandler를 지정해주지 않으면 SavedRequestAwareAuthenticationSuccessHandler를 실행합니다. 이를 사용하면 인증 성공 후 원래 요청했던 URL로 redirect 시켜줍니다. 그리고 원래 요청했던 URL이 없다면, "/"(defaultTargetUrl)로 redirect 합니다.
그러나 필자는 defaultTargetUrl을 다르게 설정하기 위해 SavedRequestAwareAuthenticationSuccessHandler를 구현한 LoginSuccessHandler를 작성했습니다.
(안타깝게도 SavedRequestAwareAuthenticationSuccessHandler는 defaultTargetUrl을 매개변수로 가지는 생성자를 보유하지 않아 custom AutenticationSuccessHandler를 구현해야만 했습니다.)
/**
* @author sujin
*/
public class LoginSuccessHandler extends SavedRequestAwareAuthenticationSuccessHandler {
public LoginSuccessHandler(String defaultTargetUrl) {
setDefaultTargetUrl(defaultTargetUrl);
}
}
(4) AuthenticationProvider 구현
실제로 인증을 수행하기 위해 AuthenticationProvider를 구현한 AuthProvider를 작성했습니다.
@Override
public Authentication authenticate(Authentication authentication) throws AuthenticationException {
String userId = (String) authentication.getPrincipal();
String password = (String) authentication.getCredentials();
User user = userService.findByUserId(userId);
if(user == null) {
throw new UsernameNotFoundException(userId);
}
if (!matchPassword(password, user.getPassword())) {
throw new BadCredentialsException(userId);
}
if (!user.isEnabled()) {
throw new BadCredentialsException(userId);
}
ArrayList<GrantedAuthority> auth = new ArrayList<GrantedAuthority>();
auth.add(new SimpleGrantedAuthority(user.getAuthority()));
return new UsernamePasswordAuthenticationToken(user, password, auth);
}
- 2라인 : [1] Spring-security Authentication structure의 그림에서 봤듯이, 파라미터로 전달받은 Authentication은 AuthenticationFilter에 의해 생성되고, 로그인 폼으로부터 입력받은 loginId/password로 생성한 AuthenticationToken입니다.
- 4라인 : loginId는 AuthenticationToken의 principal에 저장되어 있습니다.
- 5라인 : password는 AuthenticationToken의 credentials에 저장되어 있습니다.
- 7라인 : Mongodb로부터 조회해 유효한 사용자인지 확인합니다. 이때 사용되는 User DTO는 필자가 정의한 Custom DTO입니다.
- 8라인~18라인 : 유효성을 판단하여 유효하지 않으면 Exception을 발생시킵니다. 여기서 사용된 UsernameNotFoundException과 BadCredentialsException은 모두 AuthenticationException입니다.
- 앞서 AuthenticationManager가 등록된 AuthenticationProvider들을 chain으로 실행한다고 언급했었는데, AuthenticationException이 발생하면 Exception을 전파하지 않고 chain에 엮여있는 다음 AuthenticationProvider를 실행합니다.
- (이에 대한 구현 내용은 AuthenticationManager를 구현하는 ProviderManager에서 확인할 수 있습니다. ProviderManager는 Spring-security의 내장 객체입니다.)
- 22라인 : 새로운 AuthenticationToken을 만듭니다. 파라미터로 받은 AuthenticationToken과의 차이를 살펴보겠습니다.
- 1) principal의 정보가 확장되었습니다. (loginId -> Mongodb로부터 조회한 User 정보)
- 2) 권한 목록을 3번째 파라미터에 추가합니다. 이는 권한 체크를 할 때 사용됩니다.
(5) AccessDeniedHandler 구현
인증에 성공했으나 권한이 적합하지 않을 경우 다음과 같이 403 에러 화면이 노출됩니다.
이는 사용자 입장에서 시스템의 에러처럼 느껴질 수 있으므로 일관적인 UI를 유지시켜야 합니다. 이런 경우에 요청을 redirect 시키기 위해 AccessDeniedHandler를 구현했습니다. 이 Handler의 handle method는 AccessDeniedException이 발생했을 때 실행됩니다.
public class CustomAccessDeniedHandler implements AccessDeniedHandler {
@Override
public void handle(HttpServletRequest request, HttpServletResponse response, AccessDeniedException exc)
throws IOException, ServletException {
Authentication auth = SecurityContextHolder.getContext().getAuthentication();
if (auth != null) {
LOGGER.info("User: " + auth.getName() + " attempted to access the protected URL: " + request.getRequestURI());
}
response.sendRedirect(request.getContextPath() + "/accessDenied");
}
}
MappingURL "/accessDenied"에 대한 컨트롤러와 Jsp를 추가하여 다음과 같은 화면으로 대체되어 노출됩니다.
(6) jsp에서 AuthenticationToken 정보 조회
pom.xml에 spring-security-taglibs 패키지를 추가합니다.
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-taglibs</artifactId>
</dependency>
jsp 상단에 추가한 taglib를 import 합니다.
<%@ taglib uri="http://www.springframework.org/security/tags" prefix="sec" %>
그러면 taglib를 이용해 다음과 같이 AuthenticationToken 정보를 조회할 수 있습니다.
<sec:authentication property="principal.userId"/>