[Spring] 스프링 시큐리티 Java 설정

프로젝트 생성 후 xml파일(web.xml, root-context.xml, servlet-context.xml)들은 삭제, log4jdbc.log4j2.properties와 JDBC 드라이버 등 필요한 파일들을 추가합니다. pom.xml에는 스프링 시큐리티 관련 파일들과 태그 라이브러리들을 추가합니다.

XML 설정에 사용했던 코드들 역시 프로젝트에 포함시킵니다.

JSP, JAVA설정 코드, mapper, VO 등

JSP 소스, MemberMapper 클래스, security 관련 클래스들

com.project.domain에 있는 VO, com.project.security.domain에 있는 CustomUser

JSP와 연동을 위한 CommonController와 SampleController 클래스도 복사합니다.

javaConfig을 위한 기존 프로젝트에 SampleController를 Rest API 용도로 사용하고 있었기 때문에 다른 이름의 Controller로 지정했습니다.

com.project.controller 패키지에 ExamController 클래스를 생성합니다.

ExamController 클래스

다른 경로로 설정해주었다면, jsp를 담은 폴더명도 확인해야 합니다.

다시 본론으로...
(이 글은 스프링 시큐리티 Java 설정에 대한 글 입니다.)

Java 설정 추가 및 동작 확인

web.xml에선 스프링 시큐리티 동작에 기본적으로 필요한 필터를 추가하는 작업을 진행했었지만, web.xml이 없고 WebConfig 클래스를 추가한 상황에서는 1) getServletFilter( )를 이용해서 직접 스프링 시큐리티 관련 필터를 추가하거나 2) AbstractSecurityWebApplicationInitializer라는 클래스를 상속하는 클래스를 추가하는 방식을 이용합니다.

AbstractSecurityWebApplicationInitializer 클래스는 내부적으로 DelegatingFilterProxy를 스프링에 등록하는데 이 작업은 별도의 구현 없이 클래스를 추가하는 것만으로도 설정이 완료됩니다. com.project.config 패키지에 SecurityInitializer 클래스를 추가합니다.

SecurityInitializer 클래스

security-context.xml을 대신하는 설정은 com.project.config 내에 SecurityConfig 클래스를 추가합니다. SecurityConfig 클래스는 org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter라는 클래스를 상속해서 필요한 기능을 오버라이드 해서 구현합니다.

SecurityConfig 클래스

클래스 선언부의 @EnableWebSecurity는 스프링 MVC와 스프링 시큐리티를 결합하는 용도로 사용됩니다. SecurityConfig 클래스에는 configure( ) 메서드를 오버라이드해서 security-context.xml에서 사용했던 <security:http> 관련 설정들을 대신합니다.

configure( )는 파라미터로 WebSecurity와 HttpSecurity를 받는 메서드가 있으므로 주의해서 오버라이드 합니다.

xml에서 초기에 세팅했던 값으로 설정해줍니다.

url 라우팅에 대한 권한 체크를 제일 먼저 했었죠.

프로젝트를 Tomcat을 통해 실행하면 다음 에러 메시지를 보게 됩니다.

WebConfig 클래스의 변경

먼저 WebConfig 클래스를 다음과 같이 수정합니다.

WebConfig 클래스

스프링이 로딩될 때 SecurityConfig 클래스가 같이 로딩되도록 수정 후 프로젝트를 실행해 정상적으로 로딩되는지 확인합니다. WebConfig 클래스를 수정해서 프로젝트가 로딩되었다고 해도, 실제 동작에는 PasswordEncoder, 인증 매니저에 대한 설정이 없기에 정상적으로 실행되지 않습니다.

로그인 페이지 관련 설정

'/exam/admin'에 처리를 담당하는 컨트롤러와 jsp가 정상적으로 존재하면, 위 이미지 같이 Access Denied 메시지가 출력되는 것을 볼 수 있는데, 이 경우 로그인 페이지로 이동하고 로그인 할 수 있는 설정을 추가하여 해결합니다.

SecurityConfig 클래스

XML과 가장 큰 차이는 XML의 경우 기본으로 POST 방식으로 처리하는 경로가 '/login'으로 지정되지만, Java 설정의 경우 loginPage( )에 해당하는 경로를 기본으로 사용한다는 점입니다. XML과 동일한 동작을 목표로 loginProcessingUrl( )을 이용해 '/login'을 지정해 줍니다.

로그인 성공 처리

앞 예제에서 사용했던 로그인이 성공하는 경우의 처리는 Java 설정을 이용하는 경우 @Bean 설정을 통해 처리할 수 있습니다.

SecurityConfig 클래스

로그인 실습

현재 admin.jsp 파일을 복사해 왔기 때문에 여러 정보를 띄우는 설정이 안 되어 있으므로 '/exam/member' 페이지에서 로그인 테스트를 진행해보시기 바랍니다.

로그아웃 처리

로그아웃 처리는 GET 방식으로 처리되는 로그아웃 페이지를 볼 수 있는 기능과 실제 로그아웃 처리, 자동 로그인에서 사용하는 로그인에 사용된 쿠키들의 삭제를 목적으로 합니다.

SecurityConfig에서 동일한 기능 다음과 같이 작성합니다.

SecurityConfig 클래스의 일부

PasswordEncoder 지정

JDBC나 복잡한 구성을 사용하기 위해서는 PasswordEncoder를 준비합니다. 현재 SecurityConfig는 사실상 암호화를 하지 않는 CustomNoOpPasswordEncoder를 이용한 방법으로 작성되어 있으므로 이를 @Bean을 이용해서 지정하거나 BcryptPasswordEncoder 등을 지정합니다.

PasswordEncoder를 이용하기 위해서는 인코딩된 패스워드가 필요하므로 'member/member'로 로그인 시 아래와 같은 메시지만 볼 수 있습니다.

정상적인 로그인을 위해서 패스워드를 PasswordEncoder를 이용해 인코딩 해야만 합니다. 'src/test/java' 에 PasswordEncoder를 이용하는 테스트 클래스를 작성합니다. ('com.project.security' 패키지)

PasswordEncoderTests 클래스

문자가 인코딩되어 나타나는지 확인 합니다. 인코딩된 문자열은 스프링 시큐리티에서 올바르게 인코딩된 것인지 확인하기 때문에 SecurityConfig 클래스에 테스트 결과를 다음과 같이 반영해서 로그인이 가능한지 확인할 수 있습니다.

test코드에서 출력된 인코딩 문자열을 SecurityConfig에 넣고 다시 로그인 해보면, 로그인 되는 것을 확인할 수 있습니다.

JDBC를 이용하는 Java 설정

스프링 시큐리티 인증은 크게 1) username으로 사용자의 정보를 얻어오는 작업과, 2) 적당한 권한 등을 체크하는 과정으로 처리됩니다. 앞에서 tb_member, tb_member_auth 테이블을 생성해 두었기 때문에 이를 이용하는 JDBC 설정을 한다면 기존의 메서드를 다음과 같이 변경합니다.

SecurityConfig 클래스

인증 과정에서 패스워드 정보는 BcryptPasswordEncoder를 이용하여 지정해 주고, 필요한 쿼리를 지정합니다.

커스텀 UserDetailsService 설정

Mybatis나 Mybatis가 사용하는 Mapper 파일, com.project.domain 패키지의 내용 등을 추가합니다.

com.project.security 패키지에 CustomUserDetailsService 클래스 와

com.project.security.domain 패키지에 CustomUser 클래스를 추가합니다.

(위에서 이전에 작업했던 소스들을 복사해왔다면 이미 있을 겁니다.)

XML을 이용한 경우에 다음과 같이 설정되었습니다.

Java로 설정하기

SecurityConfig 클래스

최종 확인은 '/sample/admin' 경로에 로그인한 사용자만이 정상적으로 접근이 가능한지 확인합니다.

자동 로그인 설정(remember-me)

XML과 유사하지만, DataSource를 직접 추가하던 방식이 아니라 PersistentTokenRepository라는 타입을 이용한 약간의 추가 설정이 필요합니다.

SecurityConfig 클래스의 일부

확인은 로그인 후 persistent_login 테이블에 정상적으로 데이터가 추가되는지 확인합니다.

SecurityConfig 클래스 전체

package com.project.config;

import javax.sql.DataSource;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.authentication.AuthenticationSuccessHandler;
import org.springframework.security.web.authentication.rememberme.JdbcTokenRepositoryImpl;
import org.springframework.security.web.authentication.rememberme.PersistentTokenRepository;

import com.project.security.CustomLoginSuccessHandler;
import com.project.security.CustomUserDetailsService;

import lombok.Setter;
import lombok.extern.log4j.Log4j;

@Configuration
@EnableWebSecurity
@Log4j
public class SecurityConfig extends WebSecurityConfigurerAdapter {

	@Setter(onMethod_ = {@Autowired})
	private DataSource dataSource;

	@Bean
	public UserDetailsService customUserService() {
		return new CustomUserDetailsService();
	}

	// in custom userdetails
	@Override
	protected void configure(AuthenticationManagerBuilder auth) throws Exception {
		auth.userDetailsService(customUserService()).
		passwordEncoder(passwordEncoder());
	}
	
	@Bean
	public AuthenticationSuccessHandler loginSuccessHandler() {
		return new CustomLoginSuccessHandler();
	}
	
	@Override
	protected void configure(HttpSecurity http) throws Exception {
		http.authorizeRequests()
			.antMatchers("/exam/all").permitAll()
			.antMatchers("/exam/admin").access("hasRole('ROLE_ADMIN')")
			.antMatchers("/exam/member").access("hasRole('ROLE_MEMBER')");
		http.formLogin()
			.loginPage("/customLogin")
			.loginProcessingUrl("/login")
			.successHandler(loginSuccessHandler());
		http.logout()
			.logoutUrl("/customLogout")
			.invalidateHttpSession(true)
			.deleteCookies("remember-me", "JSESSION_ID");
		http.rememberMe().key("project").tokenRepository(persistentTokenRepository())
			.tokenValiditySeconds(604800);
	}
	
	@Bean
	public PasswordEncoder passwordEncoder() {
		return new BCryptPasswordEncoder();
	}
	@Bean
	public PersistentTokenRepository persistentTokenRepository() {
		JdbcTokenRepositoryImpl repo = new JdbcTokenRepositoryImpl();
		repo.setDataSource(dataSource);
		return repo;
	}
}

오늘은 스프링 시큐리티를 Java 코드로 설정하는 방법에 대해 알아보았습니다.

도움이 되셨다면 광고 한 번 클릭 부탁드립니다. 한 번의 클릭이 제게 큰 힘이 된답니다!^^

728x90

저작자표시

'java, spring' 카테고리의 다른 글

[Spring] 기존 프로젝트에 스프링 시큐리티 접목 (0)	2021.10.06
[Spring] 어노테이션을 이용하는 스프링 시큐리티 설정 (0)	2021.10.04
[Spring] 자동 로그인(remember-me) (0)	2021.10.04
[Spring] 스프링 시큐리티를 JSP에서 사용하기 (0)	2021.10.04
[Spring] 스프링 시큐리티, 커스텀 테이블, 커스텀 UserDetailsService 활용 (0)	2021.10.03

현재글[Spring] 스프링 시큐리티 Java 설정

250x250

framework Java Spring Boot mssql mariadb backend frontend fullstack JPA security javascript vue.js 3D blender 블렌더 python 개발자 포트폴리오 portfolio 이직 취업 c c++ c# IT web server Developer android tech jquery sql procedure 함수 메서드 클래스 람다 lamda 인텔리제이 이클립스 intellij e

spring boot, Spring Framework, 블렌더, java, 3d blender, vue, MariaDB, 마리아디비, Spring Security, 도커, Blender, react, 알고리즘, 스프링 시큐리티, 백준, 스프링, 백준 알고리즘, spring, Vue CLI, Docker,

Today :
Yesterday :

일	월	화	수	목	금	토
			1	2	3	4
5	6	7	8	9	10	11
12	13	14	15	16	17	18
19	20	21	22	23	24	25
26	27	28	29	30	31

IT기록 isaac

[Spring] 스프링 시큐리티 Java 설정