Spring Security 공부하기 (1)

실습 목표 및 간단한 동작 원리

 

실습 목표

: 스프링 시큐리티 프레임워크를 활용하여 인증, 인가를 구현하고 회원 정보 저장(영속성)은 MySQL 데이터베이스를 활용하여 구현한다

 

구현

- 인증 : 로그인

- 인가 : 경로별 접근 권한

- 회원가입

 

시큐리티 동작 원리

간단히 정리해 보자면....

 

Spring Security Config라는 filter를 만들어 놓으면 client의 요청을 가로채서 client가 가고싶은 목적지 이전에 특정한 권한을 가지고 있는지 분석을 하고 권한을 확인을 하여 막든지 허용하든지 합니다(세션에 로그인 정보 냄김)

 

버전

- Spring Boot 3.1.5

- Security 6.1.5

- Spring Data JPA - MySQL

- mustache

- IntelliJ Ultimate

 

 

프로젝트 생성

 

의존성

- Spring Web

- Lombok

- Mustache

- Spring Security

- Spring Data JPA

- MySQL Driver

 

 

main page

 

package com.example.testsecurity.controller;

import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.GetMapping;

@Controller
public class MainController {

    @GetMapping("/")
    public String mainP() {

        return "main";
    }
}

 

<html>
<head>
    <meta charset="UTF-8">
    <meta name="viewport"
          content="width=device-width, user-scalable=no, initial-scale=1.0, maximum-scale=1.0, minimum-scale=1.0">
    <meta http-equiv="X-UA-Compatible" content="ie=edge">
    <title>Main Page</title>
</head>
<body>
main page
</body>
</html>

 

아이디 : user / 비밀번호 : 인텔리제이에서 준걸 들어가면 만든 화면을 볼 수 있다!!

 

 

Security Config 클래스

 

 

인가

 

특정 경로에 요청이 오면 Controller 클래스에 도달하기 전 필터에서 Spring Security가 검증을 함

 

1. 해당 경로의 접근은 누구에게 열려 있는지

2, 로그인이 완료된 사용자인지

3. 해당되는 role을 가지고 있는지

 

 

시큐리티 Config 클래스 작성

 

package com.example.testsecurity.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.web.SecurityFilterChain;

@Configuration
@EnableWebSecurity
public class SecurityConfig {

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception{

        http
                .authorizeHttpRequests((auth) -> auth
                        .requestMatchers("/", "/login").permitAll() 		// permitAll() : 모두 허용
                        .requestMatchers("/admin").hasRole("ADMIN")			// hasRole() : 해당 역할을 가진 사용자만
                        .requestMatchers("/my/**").hasAnyRole("ADMIN", "USER") // hasAnyRole() : 해당 역할들을 가진 사용자들만
                        .anyRequest().authenticated()	// anyRequest() : 이외에 처리하지 못한 로직들 / authenticated : 로그인한 모든 사용자
                );

        return http.build();
    }
}

 

상단 부터 동작하기 때문에 순서에 유의하여 적어야 한다(밑에 코드들이 안 먹을 수 있음)

 

 

추가 페이지 생성

 

package com.example.demo.controller;

import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.GetMapping;

@Controller
public class AdminController {

    @GetMapping("/admin")
    public String admin() {

        return "admin";
    }
}

 

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>admin Page</title>
</head>
<body>
admin Page
</body>
</html>

 

admin 페이지에 따로 접근할 수 없음... 따로 role을 설정해 주지 않아소...