SPRING/PROJECT

[구현] Spring Security 6.1 이상 버전 적용, 설정하기

ozllzL 2024. 5. 2. 02:07

이전 스프링 시큐리티 소개 글에서 이어서 갑니다

[구현] Spring Security 왜 쓰는데?

Srping Security란?정의 by 공식문서강력하고 사용자 정의가 가능한 인증 및 액세스 제어 프레임워크 Spring 기반 애플리케이션 보안의 (사실상의) 표준 특징인증 및 권한 부여에 대한 포괄적이고 확

dowlsovo.tistory.com

SecurityFilterChain 설정하기

의존성 추가

**gradle**
implementation 'org.springframework.boot:spring-boot-starter-security'
+ 테스트에서도 필요하다면 testImplementation 'org.springframework.security:spring-security-test'

**maven**
<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

‼️ 아래부터는 지극히 저의 개인적인 예시입니다

확장성이 높은게 장점인 기술인 만큼, 필요에 따라 적절히 수정해서 사용해주세요

SecurityConfig.java

: SecurityFilterChain을 설정하고, 붙여주는 역할

설정 순서와는 관계 없이 추가된 필터들이 정해진 순서대로 수행됨 내가 만든 필터를 추가할 때만 순서를 지정해주면 됨

@Configuration
@EnableWebSecurity
@RequiredArgsConstructor
public class SecurityConfig {

    private final JwtTokenProvider jwtTokenProvider;

    @Bean
    PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Bean
    SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http
        	//cors의 기본 값은 모든 모든 origin, 헤더, HTTP 메서드(GET, POST, PUT, DELETE 등), 자격 증명을 허용하며, Preflight 요청의 최대 수명을 설정하지 않음
        	//더 정교한 정책이 필요하다면 직접 custom하면 됩니다
                .cors(Customizer.withDefaults())
                //csrf는 주로 SSR인 경우에 필요(html 코드를 수정하기 때문)
                //설정하면 좋겠지만, disable 해놓겠습니다
                .csrf(AbstractHttpConfigurer::disable)
                //세션 없이 stateless하게 설정
                .sessionManagement((sessionManagement) ->
                    sessionManagement
                        .sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                )
                //인증이 필요한 url 설정
                .authorizeHttpRequests((authorizeRequests) ->
                        authorizeRequests
		                        //아래 url은 인증 필요하지 않음
                            .requestMatchers("/", "/auth/**", "/manage/**", "/webjars/**", "/h2-console").permitAll()
                            //나머지는 인증 필요함
                            .anyRequest().authenticated()
                )
                //UsernamePasswordAuthenticationFilter(기본 필터) 전에 기본 필터 적용
                .addFilterBefore(new JwtAuthenticationFilter(jwtTokenProvider), UsernamePasswordAuthenticationFilter.class);

        return http.build();
    }
    
   
    @Bean
    public WebSecurityCustomizer webSecurityCustomizer() {
        return web -> web.ignoring().requestMatchers(
                "/swagger-ui/**",
                "/swagger-resources/**",
                "/v3/api-docs/**"
        );
    }
}

WebSecurityCustomizer 빈은 Spring Security의 보안 필터 체인을 구성하기 전에 실행됨

보안 구성의 초기 단계에서 적용되며, 기본적인 보안 설정에 사용자 정의 설정을 추가하거나 변경하는 데 사용됨
따라서, 여기서 ignore가 걸리면 이후 security filter를 수행하지 않음 → swagger 가 모든 api에 접근할 수 있음

JwtAuthenticationFilter.java

위에서 등록한 필터

@RequiredArgsConstructor
public class JwtAuthenticationFilter extends GenericFilterBean {

    private final JwtTokenProvider jwtTokenProvider;

    @Override
    public void doFilter(ServletRequest request, ServletResponse response, FilterChain chain) throws IOException, ServletException {
        String token = jwtTokenProvider.resolveToken((HttpServletRequest) request);
        if (token != null && jwtTokenProvider.validateToken(token)) {
            Authentication authentication = jwtTokenProvider.getAuthentication(token);
            SecurityContext context = SecurityContextHolder.createEmptyContext();
            context.setAuthentication(authentication);
            SecurityContextHolder.setContext(context);
        }
        chain.doFilter(request, response);
    }
}

SecurityContextHolder 그게 뭔데?

현재 인증된 사용자의 정보를 담고 있는 객체

SecurityContextHolder(static)는 이를 담고 있는다

얘를 중심으로 현재 인증된 사용자가 있는지, 정보가 뭔지 나를 수 있음

더 알고싶다면 아래

Servlet Authentication Architecture :: Spring Security

JwtTokenProvider.java

jwt 토큰 가져오기, 생성, 검증, 정보 추출 등의 메소드들을 한 곳에 모은 클래스입니다.

autoincreasement id를 사용하고 있기 때문에 또 다른 식별자 email을 대신 사용했습니다.

claim에는 주로 ROLE을 많이 담습니다. 현재 프로젝트에서는 ROLE이 큰 역할을 하고 있지 않기 때문에 나중에 리팩터링 하면서 추가할 예정입니다.

@RequiredArgsConstructor
@Component
public class JwtTokenProvider {
		
		//보안을 위해 yml파일에 담았습니다
    @Value("${security.secret-key.jwt}")
    private String secretKey;
    
    private final long tokenValidTime = 3 * 60 * 60 * 1000L;

    private final UserDetailsService userDetailsService;

    @PostConstruct
    protected void init(){
        secretKey = Base64.getEncoder().encodeToString(secretKey.getBytes());
    }	

		//생성
    public String createAccessToken(Member member) {
		    //jwt에 담을 내용 설정, 기호에 맞춰 필요한 내용을 담으면 됩니다
        Claims claims = Jwts.claims().setSubject(member.getEmail()); //이메일 담았습니다
        Date now = new Date();
        return Jwts.builder()
                .setClaims(claims)
                .setIssuedAt(now)
                .setExpiration(new Date(now.getTime() + tokenValidTime))
                .signWith(SignatureAlgorithm.HS256, secretKey)
                .compact();
    }
		
		//정보 가져오기
    public Authentication getAuthentication(String token) {
        UserDetails userDetails = userDetailsService.loadUserByUsername(this.getUserId(token)); //아이디가 아니라 이메일 뱉습니다
        return new UsernamePasswordAuthenticationToken(userDetails, userDetails.getPassword(), userDetails.getAuthorities());
    }
   
    public String getUserId(String token) {
        if(validateToken(token))
            return Jwts.parser().setSigningKey(secretKey).parseClaimsJws(token).getBody().getSubject(); //이메일 뱉습니다
        //저희가 사용하는 custom exception입니다
        throw new CustomException(ResponseCode.UNAUTHORIZED_INVALID_TOKEN);
    }
    
    //헤더에서 토큰 꺼내오기
    public String resolveToken(HttpServletRequest request) {
        return request.getHeader("Authorization");
    }
    
    //토큰 유효성 검증
    public boolean validateToken(String jwtToken) {
        try {
            Jws<Claims> claims = Jwts.parser().setSigningKey(secretKey).parseClaimsJws(jwtToken);
            return !claims.getBody().getExpiration().before(new Date());
        } catch (Exception e) {
            throw new CustomException(ResponseCode.UNAUTHORIZED_INVALID_TOKEN);
        }
    }
}

UserDetailService.java 커스텀한 CustomUserDetailService.java

loadUserByUsername의 인수는 String이어야 합니다.

하지만 저희는 autoincreasement id를 사용하고 있기 때문에 다시 말하지만 또 다른 식별자 email을 대신 사용했습니다.

@RequiredArgsConstructor
@Service
public class CustomUserDetailService implements UserDetailsService {

    private final MemberMapper memberMapper;

    @Override
    public UserDetails loadUserByUsername(String email) throws UsernameNotFoundException {
        Member member =  memberMapper.findByEmail(email).orElseThrow(() -> new UsernameNotFoundException("해당 email의 사용자가 없습니다."));
        return new PrincipalDetails(member);
    }
}

PrincipalDetails.java

하단의 isAccountNonExpired, isAccountNonLocked… 들도 member.getExpired()이런 식으로 리턴하면 좋았겠지만, 간단한 프로젝트기에 해당 부분은 생략하고 진행했습니다.

@Getter
@AllArgsConstructor
public class PrincipalDetails implements UserDetails {

    private Member member;

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {

        Collection<GrantedAuthority> collection = new ArrayList<>();
        collection.add((GrantedAuthority) () -> member.getRole());
        return collection;
    }

    @Override
    public String getPassword() {
        return member.getPassword();
    }

    @Override
    public String getUsername() {
        return member.getName();
    }
    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }
}

사용 예시

service의 일부

@Transactional
public void join(MemberJoinDto memberJoinDto, MultipartFile image){
    if(memberMapper.existByEmail(memberJoinDto.getEmail()))
        throw new CustomException(BAD_REQUEST_MEMBER_DUPLICATED);
    String imageUrl = null;
    if(image != null) imageUrl = ImagePathUtil.restore(image);
    memberMapper.insert(
            memberJoinDto.getEmail(),
            memberJoinDto.getName(),
            passwordEncoder.encode(memberJoinDto.getPassword()),
            imageUrl
    );
}

public MemberTokenDto login(MemberLoginDto memberLoginDto) {
  Member member = memberMapper.findByEmail(memberLoginDto.getEmail()).orElseThrow(
  			() -> new CustomException(NOT_FOUND_MEMBER)
  		);
  if(passwordEncoder.matches(memberLoginDto.getPassword(), member.getPassword())){
      return MemberTokenDto.builder()
              .member(member)
              .accessToken(jwtTokenProvider.createAccessToken(member))
              .build();
  }
  throw new CustomException(NOT_FOUND_MEMBER);
  
}

controller의 일부

    @GetMapping("/profile")
    public ResponseEntity<?> getProfile(@AuthenticationPrincipal PrincipalDetails memberPrincipal){
        return ResponseEntity.status(HttpStatus.OK).body(memberService.getProfile(memberPrincipal.getMember()));

    }

request.getUserPrincipal()을 @AuthenticationPrincipal으로