🔥 #9 비밀번호 해쉬 후 회원가입

1. 로그인 요청을 하면 시큐리티가 지켜보다가 로그인 요청을 가로채도록 설정한다.
2. 로그인 요청으로 들어온 파라미터(username, password)를 가지고 시큐리티가 로그인을 진행한다.
3. 로그인 진행을 완료한 후 시큐리티 전용(?) 세션에 유저 정보를 넣어놓는다. (이 또한 스프링이 IoC로 관리)
4. 이때, 시큐리티 세션 안에는 User 객체를 저장시킬 순 없고, UserDetails 타입으로 저장시킨다.
5. 시큐리티 세션 안에 있는 유저 정보를 DI 받아서 쓰면 된다.

---

이때 로그인이 되기 위해서는 password가 해쉬로 암호화된 채로 들어와야 한다.

---

< SecurityConfig 에 넣을 메소드>

1. encodePWD()

// < SecurityConfig >

	@Bean // IoC가 된다.
    public BCryptPasswordEncoder encodePWD() {
        return new BCryptPasswordEncoder(); // 이 객체를 스프링이 관리하게 됨. 필요할 때마다 가져가서 쓰면 된다.
    }
    
    .
    .
    .
    
// < test>    
	public class EncTest {

    @Test
    public void 해쉬_암호화화() {
        String encPassword = new BCryptPasswordEncoder().encode("1234");
        System.out.println("1234 해쉬 : " + encPassword);
    }
}

< UserService >

@Service // 스프링이 컴포넌트 스캔을 통해서 Bean에 등록을 해줌. (IoC)
public class UserService {

    @Autowired
    private UserRepository userRepository;

    @Autowired
    private BCryptPasswordEncoder encoder;

    @Transactional // 전체가 성공해야 commit, 실패하면 rollback
    public void 회원가입(User user) {
        String rawPassword = user.getPassword(); // 원본 (예 : 1234)
        String encPassword = encoder.encode(rawPassword); // 해쉬
        user.setPassword(encPassword);
        user.setRole(RoleType.USER);
        userRepository.save(user);
    }
}

2. configure(AuthenticationManagerBuilder auth)

	// 시큐리티가 로그인할 때 어떤 암호화로 인코딩해서 비번을 비교할지 알려줘야 함.
    // 시큐리티가 대신 로그인 함 -> password 가로챔
    // 가로챈 password가 회원가입 될 때 무엇으로 해쉬가 되었는지 알아야함 -> 그래야 같은 해쉬로 암호화 하고 DB에 있는 해쉬와 비교하여 로그인
    // 즉, 패스워드 비교하는 메서드
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(principalDetailService).passwordEncoder(encodePWD()); // passwordEncoder 하는 애가 encodePWD 임.
    }

< 최종 SecurityConfig >

@Configuration // 빈 등록 (IoC관리)
@EnableWebSecurity // Security 필터가 등록됨 = 스프링 시큐리티가 이미 활성화는 되어있지만, 설정은 해당 파일에서 할 것임
@EnableGlobalMethodSecurity(prePostEnabled = true) // 특정 주소로 접근을 하면 권한 및 인증을 미리 체크 (수행한 후에 체크하는 것이 아님)
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private PrincipalDetailService principalDetailService;

    // 1. Bean 어노테이션은 메서드에 붙여서 객체 생성시 사용
    @Bean // IoC가 된다.
    public BCryptPasswordEncoder encodePWD() {
        return new BCryptPasswordEncoder(); // 이 객체를 스프링이 관리하게 됨. 필요할 때마다 가져가서 쓰면 된다.
    }

    // 2. 시큐리티가 로그인할 때 어떤 암호화로 인코딩해서 비번을 비교할지 알려줘야 함.
    // 시큐리티가 대신 로그인 함 -> password 가로챔
    // 가로챈 password가 회원가입 될 때 무엇으로 해쉬가 되었는지 알아야함 -> 그래야 같은 해쉬로 암호화 하고 DB에 있는 해쉬와 비교하여 로그인
    // 즉, 패스워드 비교하는 메서드
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(principalDetailService).passwordEncoder(encodePWD()); // passwordEncoder 하는 애가 encodePWD 임.
    }

    // 3. 필터링
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
                .csrf().disable() // csrf 토큰 비활성화 (테스트시 걸어두는게 좋음)
                .authorizeRequests() // request가 들어오면
                .antMatchers("/", "/auth/**", "/js/**", "/css/**", "/image/**") // 여기로 들어오면
                .permitAll() // 모두 가능 (누구나 가능)
                .anyRequest() // 그게 아닌 다른 모든 요청은
                .authenticated() // 인증이 되어야 한다
                .and()
                .formLogin()
                .loginPage("/auth/loginForm") // 인증이 필요한 요청은 이 로그인 폼으로 온다
                .loginProcessingUrl("/auth/loginProc") // 스프링 시큐리티가 해당 주소로 요청이 오는 로그인을 가로채서 대신 로그인을 한다.
                .defaultSuccessUrl("/");
    }

    // 참고 : .headers().frameOptions().disable() // 아이프레임 접근 막기
    // 참고 : .csrf().disable() // csrf 토큰 비활성화 (테스트시 걸어주는 것이 좋음)
}

---

XSS와 CSRF

• XSS 공격 : 공격자가 원하는 스크립트를 사용자가 실행하게끔 하는 공격
• CSRF 공격 : 사이트에서 의도하지 않은 API를 공격자가 요청하는 공격

CSRF 방어 방법

• CSRF 토큰 사용 : 랜덤한 수를 사용자의 세션에 저장하여 사용자의 모든 요청(Request)에 대해서 서버단에서 검증하는 방법

// 로그인시, 또는 작업화면 요청시 CSRF 토큰을 생성하여 세션에 저장
session.setAttribute("CSRF_TOKEN",UUID.randomUUID().toString());

// 요청 페이지에 CSRF 토큰을 셋팅하여 전송
<input type="hidden" name="_csrf" value="${CSRF_TOKEN}" />

스프링 시큐리티를 사용하면, CSRF처럼 개발자가 의도하지 않은 요청들이 API로 들어오면 원천차단할 수 있다.
즉, 요청시에 CSRF 토큰을 안 가지고 요청을 하면 (=CSRF 토큰이 없으면) 스프링 시큐리티가 막아준다.

그래서 테스트시에는 SecurityConfig.java 에 .csrf().disable() // csrf 토큰 비활성화 (테스트시 걸어두는게 좋음) 이렇게 비활성화 해놓고 테스트 하면 된다.