Spring interceptor를 활용한 로그인 및 인가(Authorization)

1. 인증(Authentication)과 인가(Authorization) 

 

1️⃣ 인증(Authentication)

: 시스템 접근 시, 등록된 사용자인지 여부를 확인하는 것 

ex) 로그인 

 

2️⃣ 인가(Authorization) 

: 시스템 접근 후, 인증된 사용자에게 권한을 부여하는 것 

권한에 따라 사용 가능한 기능이 제한됨 

ex) 사용자 등급 (일반/ vip/ 관리자)

 

 

2. Spring MVC 게시판에 인증, 권한 추가

https://hyejin.tistory.com/276

Spring MVC 간단한 게시판 만들기 (+ 폼 데이터 유효성 검증하기 Validator)

여기까지 진행된 Spring MVC 게시판에 대해서 

인증과 권한을 추가할 것이다. 

 

⭐ 인증에 대해서는 로그인이고, 지금은 간단하게 확인할 용도로 사용할 예정이라 사용자 테이블을 따로 만드는 것이 아니라 ADMIN_AD = "admin"과 ADMIN_PW = "1234"로 테스트를 진행할 것이다. 

 

⭐ 인가에 대해서는 사용자 목록은 로그인을 하지 않고도 조회할 수 있지만, 특정 글 조회, 수정, 삭제, 등록은 로그인한 사용자만 가능하도록 하여 로그인하지 않은 사용자에 대해 기능을 제한할 예정이다. 

 

 

3. Interceptor 객체

로그인 처리에 대해서 예전에 공부했던 aop 공통기능 aspect 클래스로 작성할 수도 있겠지만 

스프링에서는 이를 좀 더 쉽게 처리할 수 있도록 Interceptor 객체를 지원해준다. 

 

Interceptor 흐름

 

- HandlerInterceptorAdapter의 3가지 메서드 

1️⃣ preHandle 

: 컨트롤러 실행 전, 즉 컨트롤러로 request 들어가기 전에 수행한다. 

그리고 리턴할 때 true이면 컨트롤러 uri로 가고, false이면 컨트롤러 요청을 하지 않는다. 

 

2️⃣ postHandle 

: 컨트롤러(핸들러) 실행 하고 나서 뷰 실행 전, 즉 컨트롤러의 핸들러 처리가 끝나 return 되고, 뷰 화면을 response 되기 직전에 postHandle 메서드를 수행한다. 

 

3️⃣ afterCompletion 

: 뷰 화면을 response 끝난 뒤에 수행한다. 

 

 

4. Interceptor 클래스 생성  및 Spring 설정 파일에 등록 

 

1️⃣ LoginInterceptor

 

2️⃣ servlet-context.xml 

LoginInterceptor로 작성한  interceptor 클래스을 빈 생성해주고, 

<interceptors> 태그 안에 interceptor 등록 및 설정해준다.

(이때 <interceptors> 태그안에는 여러개 <interceptor> 등록 가능하다.)

 

그리고 <mapping> 태그에 path에는 interceptor 할 request mapping 경로에 대해 등록한다. 

지금은 list.do만 로그인 유무에 상관없이 보여질 예정이기 때문에 <exclude-mapping>태그로 list.do를 제외해준다. 

 

그리고 <beans:ref> 태그를 통해 어떤 interceptor를 설정할지 등록해준다. 

 

 

5. UserController 작성 및 로그인 화면 생성 

1️⃣ login.jsp 

<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>
<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<title>Login</title>
<link href="https://maxcdn.bootstrapcdn.com/bootstrap/3.3.5/css/bootstrap.min.css" rel="stylesheet">
<!-- Optional theme -->
<link rel="stylesheet" href="https://maxcdn.bootstrapcdn.com/bootstrap/3.3.5/css/bootstrap-theme.min.css">
<script src="https://maxcdn.bootstrapcdn.com/bootstrap/3.3.5/js/bootstrap.min.js"></script>
</head>
<body>
	<div class="container">
		<h2 class="text-center">로그인</h2>
		<hr>
		<form class="text-center" action="loginOk" method="post">
			<div class="form-group">
				<label>id : </label>
				<input name="id" required="required"/> 
			</div>
			
			<div class="form-group">
				<label>pw: </label>
				<input name="pw" required="required"/>
			</div>
			
			<div class="btn-group">
				<input type="submit" value="login">
			</div>
		</form>
	</div>
</body>
</html>

 

2️⃣ logout.jsp

<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>
<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<title>Insert title here</title>
<script type="text/javascript">
	alert("로그아웃 되었습니다!");
	location.href = "${pageContext.request.contextPath }/board/list.do";
</script>
</head>
<body>

</body>
</html>

3️⃣ logfail.jsp

<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>
<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<title>Insert title here</title>
<script type="text/javascript">
	alert("로그인 실패!");
	history.back();
</script>
</head>
<body>

</body>
</html>

4️⃣ UserController.java

login() 메서드는 로그인 화면을 띄워주는 핸들러이다. 

loginOk() 메서드는 로그인 폼에서 로그인 버튼을 눌렀을 때 동작한다. 

기존에 로그인 정보가 있다면 우선 지워주고, 다시 session에 정보를 추가해준다. 

 

만약 아이디와 비번 입력을 잘못했다면 logfail.jsp로 이동한다.

로그인이 성공했다면 게시판 목록 list.do로 redirect 한다. 

 

로그아웃 버튼을 까먹고 구현 못했는데 경로를 user/logout 으로 해주면 세션에 저장되어있던 정보를 제거하고,

다시 목록으로 redirect 한다. (로그인 안해도 목록은 볼 수 있기 때문에)

 

5️⃣ 결과 화면 

로그인 하지 않은 사용자 - list.do 

 

특정 글 조회를 위해 제목을 클릭하면 로그인하라는 창을 보게 된다.

아이디 비번을 잘못 입력하면 알림창을 받게 되고 다시 로그인 페이지로 이동한다. 

저장된 아이디와 비밀번호를 입력하면 목록 조회, 수정,삭제 ,등록이 가능하다. 

 

만약 로그인하지 않은 사용자가 목록에서 Validation practice제목의 글을 조회하려고 클릭했다면 

로그인 페이지를 보게 될것이다. 

그리고 로그인하고 나면 

바로 목록 조회가 아니라 보려고 했던 Validation practice 글을 조회할 수 있다. 

이는 

interceptor에서 prehandle() 메서드에서 

request.getResultURL().toString() + "?" + request.getQueryString() 을통해 직전 url을 session에 저장해준다. 

그리고 UserController에서 세션에 저장된 직전 url이 있다면 해당 url로 이동하고, 아니면 목록으로 이동한다.