Spring Security 로그인 인증 및 인가 (Security 환경설정, AuthenticationManger, AutenticationProvider)

Spring Security 로그인 인증 및 인가 (Security 환경설정, AuthenticationManger, AutenticationProvider)

2021. 12. 2. 17:50ㆍSpring

728x90

1. Spring Security 라이브러리 설치

Spring 버전 : 5.2.13

java : 1.8

1️⃣ Spring Security Web

https://mvnrepository.com/artifact/org.springframework.security/spring-security-web

2️⃣ Spring Security Core

https://mvnrepository.com/artifact/org.springframework.security/spring-security-core

3️⃣ Spring Security Config

https://mvnrepository.com/artifact/org.springframework.security/spring-security-config

4️⃣ Spring Security Taglibs

https://mvnrepository.com/artifact/org.springframework.security/spring-security-taglibs

2. security-context.xml 설정파일 생성하기

기본인 servlet-context.xml 말고 새로 security-context.xml 파일을 spring -> appServlet밑에 생성해준다.

그리고 namespace에서 security를 추가해준다.

원래 저부분이 5.2.xsd인가 이렇게 작성되어있는데 노랗게 칠한 부분처럼 변경해준다.

그리고 security-context.xml에 다음과 같이 기본적인 포맷을 작성해준다.

3. web.xml 설정하기

새로 만든 security-context.xml 경로를 추가로 작성해준다.

그리고 security 관련 filter를 추가해준다.

<filter> <filter-name>springSecurityFilterChain</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy </filter-class> </filter> <filter-mapping> <filter-name>springSecurityFilterChain</filter-name> <url-pattern>/*</url-pattern> </filter-mapping>

여기까지가 환경설정이다..!! 여기까지 설정하고 정상적으로 서버가 잘 동작하는지 확인해본다.

4. Spring Security Login

세가지 권한을 만들어서 all은 로그인 여부와 상관없이 접속 가능, member는 로그인한 사용자들이 접속 가능, admin은 관리자로 이 권한을 가진 사용자들만 로그인할 수 있고, admin은 member 에 접속할 수도 있다.

1️⃣ SampleController.java

@GetMapping은 @RequestMapping(method=RequestMethod.GET)의 축약형이다..!

2️⃣ sample/all.jsp, member.jsp, admin.jsp

3️⃣ Spring Security에서의 인증 Authentication

AuthenticationManager : 인증 담당

AuthenticationProvider : 인증에 대한 처리

- member

서버를 실행하고 /sample/all은 접속 가능하지만 /sample/member로 접속하면 Spring Security가 제공하는 기본적인 로그인 페이지로 이동하게 된다.

이때 {noop}을 사용하는 이유는 Spring Security5부터는 반드시 passwordEncoder를 사용해야하기 때문에 임시로 해둔것이다!

authorities는 로그인 성공시 부여되는 권한이다.

지금은 일단 로그아웃 처리하기 위해서는 session을 직접 삭제해줘야한다. (f12 눌러서 삭제하기)

- admin

admin에서는 이제 member와 admin 페이지에 모두 접속할 수 있지만

member에서 admin 페이지에 접속하려고 하면

다음과 같은 에러화면을 보게 된다.

4️⃣ Spring Security에서 접근 제한 메시지 처리

위에서 admin 권한이 없는 member가 admin 페이지 접속하려고 하면 접근 제한 에러 메시지 처리를 AccessDeinedHandler를 통해 구현 가능하다.

- error-page

<security:access-denied-handler>에서는 error-page를 지정하거나 AccessDeniedHandler 객체를 지정해서 구현 가능하다. 지금 위에서는 접근 권한 에러 발생시 /accessError uri로 화면 지정한다.

그러면 403 에러 화면이 아닌 사용자가 직접 작성한 에러 페이지로 볼 수 있다.

- AccessDeniedHandler 구현

접근 제한 처리를 다양하게 구현하기 위해서는 AccessDeniedHandler를 직접 구현할 수 있다.

예를 들어 접근 제한 발생 시 쿠키나 세션에 특정한 작업을 하거나 HttpServletResponse 에 특정한 헤더 정보를 추가하는 등의 행위를 할 경우 AccessDeniedHandler를 구현하여 처리할 수 있다.

AccessDeniedHandler 인터페이스를 구현한 CustomAccessDeniedHandler

5️⃣ Spring Security Login 페이지 커스텀하기

저 태그는 Security에서 제공하는 기본 로그인 페이지이다.

이걸 이제 customLogin으로 수정해주어 Login 페이지를 커스텀할 것이다.

이때 post로 submit 해야하며, name은 userid가 아닌 username이다!!

6️⃣ Spring Security Login 성공 페이지

로그인 성공 이후에 특정 동작을 수행하기 위해서 AutenticationScueessHandler를 구현하였다.

여기서는 로그인 하고 나서 해당하는 페이지로 이동하는 동작을 구현하였다.

security-context.xml 에 customLoginSucessHandler 빈 추가

7️⃣ Spring Security Logout

invalidate-session은 로그아웃시 세션 무효화 설정이며, 쿠키 지우는 설정은 delete-cookies 지정 가능하다.

로그아웃 실제 작업은 customLogout이 처리하며 post방식으로 진행한다.

(post인 이유는 스프링 시큐리티 기본 설정이라서!)

위에서 get방식도 같이 지정한 이유는 admin 페이지에서 로그아웃 버튼을 누르면 post방식이 아닌 get 방식이기 때문이다.

5. 최종 결과

1️⃣ sample/admin 접속

로그인하지 않았기 때문에 login페이지로 이동

2️⃣ customLogin 페이지로 이동

3️⃣ admin으로 로그인

4️⃣ 로그아웃 버튼 누르면 logout 페이지로 이동 (get)

5️⃣ 로그아웃 (post)

Spring Security까지 배웠으니 이제 다음에는 계속 발전시켜오던 게시판에 대해서 로그인을 적용해볼 예정이다!

728x90

'Spring' 카테고리의 다른 글

Spring @RestController 를 이용한 간단한 게시판, 페이징 (0)	2021.12.06
Spring Security JDBC 사용한 로그인 처리 (BCryptPasswordEncoder 암호화) (0)	2021.12.03
Spring interceptor를 활용한 로그인 및 인가(Authorization) (0)	2021.12.02
Spring Transaction 간단한 티켓 구매 서비스 예제 (0)	2021.12.01
Spring RESTful 사용자 관리 게시판 XML.ver (JAXB) (0)	2021.12.01

💖💗

💖💗

태그

최근글

댓글

공지사항

아카이브

'Spring' 카테고리의 다른 글

관련글

티스토리툴바