Spring Security 적용해보기(1)

이번에 Spring Boot를 사용하여 서비스 하나를 개발하게 되었는데 완전 처음부터 개발하는 건 오랜만이라 다시 한번 레퍼런스를 보면서 Spring Security를 적용하려 한다.

 

순서 : 

- 가이드 살펴보기

- Spring Boot 프로젝트 생성

- Spring Security 테스트

 

가이드 살펴보기

Spring은 홈페이지에서 다양한 가이드를 제공하고 있다.

여기서 내가 필요한 가이드는 Securing a Web Application이니깐 한번 살펴본다.

현재 기준(spring security 3.1)에서는 java 17버전 이상을 사용해야 한다고 한다.

이 가이드에서는 기본적인기능을 알려주니 바로 git 주소로 가면 된다고 하지만 나는 한번 따라해보기로 했다.

 

 

 

Spring Boot 프로젝트 생성

먼저 Spring Boot 프로젝트는 Spring에서 제공하는 spring initializr를 사용하면 생성하기 편하다.

이때 나는 gradle을 선택했고 스프링 3.1을 선택하였다.

의존 쪽에서는 Spring Web, Spring Security, Thymeleaf를 선택하였는데 가이드에서는 시큐리티는 뒷부분에 gradle파일에 직접 추가해 주지만 나는 바로 추가하였다.

 

spring web을 추가한 이유 : 

spring boot에는 내장 tomcat이 있다. speing web 의존성 없이 스프링을 실행하려면 직접 설정을 해주고 구조에 맞게 세팅하여 war파일로 빌드하고 직접 was를 실행해야지 웹서비스로 띄울 수 있지만 spring web 의존을 추가하면 이런 번거로운 것들은 기본적으로 세팅을 해준 상태로 시작할 수 있기 때문에 그냥 실행버튼만 누르면 끝이다.

 

spring security를 추가한 이유 : 

로그인, 권한 부분을 개인이 따로 구현해도 아무런 문제는 없다. 대신 신경 쓸게 정말 많아지고 시간이 많이 든다.

하지만 spring쪽에서 제공하는 spring security를 사용함으로써 간단한 설정과 커스텀만 해주면 훌륭한 로그인, 권한 부분 기능을 구현할 수 있기 때문에 사용한다.

사용해보고 공부해서 혼자서 시간만 있다면 구현할 수 있는 정도까지는 꼭 해야 할 거 같다.

 

Thymeleaf를 추가한 이유 :

가이드에서 생성하게 하는 html에 타임리프 코드가 들어가있다.

 

 

그 후 프로젝트를 IDE를 사용하여 열어주고 gradle 또는 maven 빌드를 해줍니다.

이때 java, gradle, maven 버전을 잘 확인한다.

 

gradle 또는 maven 빌드를 통해 의존 라이브러리를 성공적으로 가져왔으면 성공이다.

 

 

Spring Security 테스트

테스트를 하기 위해선 화면이 필요하다 가이드에서 제공하는 화면을 그대로 사용해보자.

 

- src/main/java/com/example/securingweb/MvcConfig.java

package com.example.securingweb;

import org.springframework.context.annotation.Configuration;
import org.springframework.web.servlet.config.annotation.ViewControllerRegistry;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

@Configuration
public class MvcConfig implements WebMvcConfigurer {

	public void addViewControllers(ViewControllerRegistry registry) {
		registry.addViewController("/home").setViewName("home");
		registry.addViewController("/").setViewName("home");
		registry.addViewController("/hello").setViewName("hello");
		registry.addViewController("/login").setViewName("login");
	}

}

 

 

- src/main/resources/templates/home.html 

<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="https://www.thymeleaf.org">
    <head>
        <title>Spring Security Example</title>
    </head>
    <body>
        <h1>Welcome!</h1>

        <p>Click <a th:href="@{/hello}">here</a> to see a greeting.</p>
    </body>
</html>

 

- src/main/resources/templates/hello.html

<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="https://www.thymeleaf.org">
    <head>
        <title>Hello World!</title>
    </head>
    <body>
        <h1>Hello world!</h1>
    </body>
</html>

이렇게 2개 추가해놓고 서비스를 실행하고 localhost:8080 주소를 입력해서 들어가보면 신기한 로그인 화면이 보인다.

이건 Spring Security에서 기본적으로 제공하는 로그인 페이지이고 다른 url을 입력해도 http://localhost:8080/login 로만 redirect되는걸 확인할 수 있다.

설정도 알아서 세팅되어있는 상태인데 이때 조금 커스텀을 하기 위해서는 우리가 직접 설정해서 쓰겠다는 걸 알려야 한다.

 

@EnableWebSecurity 를 정의함으로써 WebSecurityConfig는 시큐리티 관련 설정을 담당하는 클래스로 정의하였다.

그리고 securityFilterChain메소드에서는 SecurityFilterChain을 return하는데 여기서 /, /home으로 들어오는 요청은 아무나 접근가능하게 하였고 이외 모든 url에 대해서는 인증된 상태여야지만 넘어갈 수 있는 상태를 주었다. 그리고 로그인 페이지로 보내는 설정을 한다.

 

- src/main/java/com/example/securingweb/WebSecurityConfig.java

package com.example.securingweb;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.provisioning.InMemoryUserDetailsManager;
import org.springframework.security.web.SecurityFilterChain;

@Configuration
@EnableWebSecurity
public class WebSecurityConfig {

	@Bean
	public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
		http
			.authorizeHttpRequests((requests) -> requests
				.requestMatchers("/", "/home").permitAll()
				.anyRequest().authenticated()
			)
			.formLogin((form) -> form
				.loginPage("/login")
				.permitAll()
			)
			.logout((logout) -> logout.permitAll());

		return http.build();
	}

	@Bean
	public UserDetailsService userDetailsService() {
		UserDetails user =
			 User.withDefaultPasswordEncoder()
				.username("user")
				.password("password")
				.roles("USER")
				.build();

		return new InMemoryUserDetailsManager(user);
	}
}

- src/main/resources/templates/login.html

<!DOCTYPE html>
<html xmlns="http://www.w3.org/1999/xhtml" xmlns:th="https://www.thymeleaf.org">
    <head>
        <title>Spring Security Example </title>
    </head>
    <body>
        <div th:if="${param.error}">
            Invalid username and password.
        </div>
        <div th:if="${param.logout}">
            You have been logged out.
        </div>
        <form th:action="@{/login}" method="post">
            <div><label> User Name : <input type="text" name="username"/> </label></div>
            <div><label> Password: <input type="password" name="password"/> </label></div>
            <div><input type="submit" value="Sign In"/></div>
        </form>
    </body>
</html>

 

위 코드를 다 추가하고 실행해서 localhost:8080으로 접근해 보면

home.html내용이 나오는 걸 확인할 수 있다.

하이퍼링크가 걸린 here부분을 클릭하면 localhost:8080/hello 쪽으로 보내지만 우린 설정에서 /hello는 인증된 회원만 접근할 수 있게 하였기 때문에 login페이지를 확인할 수 있다.

지금은 유저가 따로 없기에 WebSecurityConfig에 추가되어 있는 UserDetailsService부분에 임시로 추가되어있는 회원으로 로그인하자(user/password) 

 

그 후 hello 쪽으로 접근하면 잘 출력되는 걸 확인할 수 있다.

 

다음 게시글에는 좀 더 커스텀하는 방법에 대해 작성해봐야겠다.

😎