스프링 시큐리티 스타터 설정
- 스프링 시큐리티를 사용하기 위해서는 먼저 스타터를 설정해야한다.
- 프로젝트를 생성할 때 미리 설정하거나
Maven Repository에서 스프링 시큐리티를 찾아서 의존 설정을 해주면 된다. - 예시(Maven)
<dependency> <groupId>org.springframework.boot</groupId> <artifactId>spring-boot-starter-security</artifactId> </dependency> <dependency> <groupId>org.springframework.security</groupId> <artifactId>spring-security-test</artifactId> <scope>test</scope> </dependency>
- 프로젝트를 생성할 때 미리 설정하거나
- 스타터를 설정하면 자동설정 클래스들이 동작한다.
- http://localhost:8080을 입력하면 시큐리티가 만든 로그인 폼이 보인다.
- 시큐리티가 만든 계정의 비밀번호가 콘솔에 표시되는데 이때 아이디는
user이다.
시큐리티 커스터마이즈 하기
@Configuration
@EnableWebSecurity
public class TestWebMvcConfiguration extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
// 다음 경로에 대한 요청은 인증 없이 접근을 허용하도록 설정한다.
http.authorizeRequests().antMatchers("/", "/auth/**", "/js/**", "/image/**", "/webjars/**").permitAll();
// 위에서 언급한 경로 외에는 모두 인증을 거치도록 설정한다.
http.authorizeRequests().anyRequest().authenticated();
// 시큐리티가 제공하는 기본 로그인 화면은 CSRF 토큰을 무조건 전달한다.
// 하지만 사용자 정의 로그인 화면에서는 CSRF 토큰을 전달하지 않는다.
http.csrf().disable();
// 사용자가 만든 로그인 화면을 띄운다.
http.formLogin().loginPage("/auth/login");
// 로그아웃 설정
http.logout().logoutUrl("/auth/logout").logoutSuccessUrl("/");
}
}@EnableWebSecurity어노테이션과WebSecurityConfigurerAdapter를 상속한 환경설정 클래스를 만들어 자동설정된 클래스들을 해제하고 커스터마이즈 할 수 있다.- configure함수 안에 있는 메소드들을 통해 시큐리티 설정을 커스텀할 수 잇다.
DB와 연결하여 저장된 계정으로 로그인하기
@Getter
@Setter
public class UserDetailsImpl implements UserDetails {
// User 엔티티 타입의 참조변수 선언
private User user;
public UserDetailsImpl(User user) {
this.user = user;
}
// User Entity가 가지고 있는 권한 목록을 저장하여 리턴한다.
@Override
public Collection<? extends GrantedAuthority> getAuthorities() {
// 권한 목록을 저장할 컬렉션
Collection<GrantedAuthority> roleList = new ArrayList<>();
// 권한 설정
roleList.add(new GrantedAuthority() {
@Override
public String getAuthority() {
return "ROLE_" + user.getRole();
}
});
return roleList;
}
@Override
public String getPassword() {
// {noop}은 비밀번호를 암호화하지 않도록 하는 접두사다.
return "{noop}" + user.getPassword();
}
@Override
public String getUsername() {
return user.getUsername();
}
// 계정이 만료됐는지 여부를 리턴한다.
@Override
public boolean isAccountNonExpired() {
return true;
}
// 계정이 잠겨있는지 여부를 리턴한다.
@Override
public boolean isAccountNonLocked() {
return true;
}
// 비밀번호가 만료됐는지 여부를 리턴한다.
@Override
public boolean isCredentialsNonExpired() {
return true;
}
// 계정의 활성화 여부를 리턴한다.
@Override
public boolean isEnabled() {
return true;
}
}- UserDetails를 상속받아 오버라이드한 메소드를 설정하여 DB에 저장된 계정으로 로그인할 수 있다.
- 정확히는 다음 과정까지 거쳐야 완벽하게 로그인 할 수 있다.
- UserDetails는 입력받은 User객체가 정상 로그인 할 수 있는지 확인하는 클래스이다.
JPA와 연결하기
@Service
public class UserDetailsServiceImpl implements UserDetailsService {
@Autowired
private UserRepository userRepository;
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
User principal = userRepository.findByUsername(username).get();
return new UserDetailsImpl(principal);
}
}- UserDetailsService를 상속받은 클래스를 활용한다.
- JPA를 사용하여 DB에 저장된 User객체를 받고, 받은 User객체를 UserDetails를 상속받은 클래스에 넣어주고 결과를 리턴받으면 된다.
완성
@Autowired
private UserDetailsServiceImpl userDetailsService;
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth.userDetailsService(userDetailsService);
}- 처음에 만들었던 설정 클래스에 다음과 같은 코드를 추가하여 로그인을 완성시켜 주면 된다.
.png)
공부는 꾸준히... 글쓰기도 꾸준히...