Backend

Springboot (5) 스프링 시큐리티

wrallee 2020. 5. 15. 00:40

1. 스프링 시큐리티

스프링 시큐리티를 사용하여 인증(Authentication), 인가(Authorization)을 손쉽게 구현할 수 있는 스프링 기반 애플리케이션의 보안 프레임워크이다.

 

A. OAuth2 스프링부트 버전 별 특징

1.5: application.properties에 client인증 정보 외 accessTokenUrl, userAuthorizationUrl, clientAuthenticationScheme를 입력해야 한다.

1.5: spring-security-oauth2-autoconfigure 라이브러리를 사용하여 호환되도록 설정할 수 있다.

2.0: application.properties에 client인증 정보(clientId, clientSecret)만 입력하면 된다. client 인증 정보 외 항목은 CommonOAuth2Provider라는 enum으로 제공된다. 구글, 깃허브, 페이스북, 옥타 지원.

 

2. 소셜 로그인 서비스 등록

소셜 로그인 기능을 활용하면 계정 보안 관련된 기능 구현 없이 사용자를 관리할 수 있다.

 

A. 구글 서비스 등록

https://console.cloud.google.com 에서 프로젝트 생성 후 아래 항목을 세팅한다.

i) API 및 서비스> OAuth 동의 화면 > 외부

아래 항목 선택 후 저장

- 애플리케이션 이름: 구글 로그인 시 사용자에게 노출 될 애플리케이션 이름.

- 지원 이메일: 사용자 동의 화면에서 노출 될 이메일 주소. 서비스 help 이메일을 입력한다.

- Google API의 범위: 구글에서 받아 쓸 정보 범위

ii) API 및 서비스 > 사용자 인증 정보 만들기 > OAuth 클라이언트 ID

웹 애플리케이션 선택 후 아래 항목 입력

- 이름: 앱의 표시 이름이 아닌 OAuth 클라이언트 ID의 이름.

- 승인 된 리디렉션 URI: 인증 성공 후 구글에서 리다이렉트 할 URL.

→ http://localhost:8080/login/oauth2/code/google을 등록한다(스프링 시큐리티에서 지원하는 URL. 별도의 컨트롤러를 구현이 필요 없음).

 

B. 네이버 서비스 등록

i) API 서비스 신청

https://developers.naver.com/apps/#/register?api=nvlogin 에 접속해서 다음 항목을 입력한다.

- 애플리케이션 이름: 로그인 시 사용자에게 표시되는 이름

- 사용 API: 사용을 원하는 API. 네아로(네이버 아이디로 로그인) / 회원이름, 이메일, 프로필 사진 체크

ii) 로그인 오픈 API 서비스 환경

환경추가 > PC 웹 선택 후 아래 항목 입력

- 서비스 URL: http://localhost:8080/

- 네이버아이디로로그인 Callback URL: 인증 성공 후 네이버에서 리다이렉트 할 URL.

→ http://localhost:8080/login/oauth2/code/naver를 등록한다(application-oauth.properties / naver.redirect-uri설정에 의해 자동 생성).

 

3. 애플리케이션 개발

A. 인증정보 세팅

[application-oauth.properties - google]

##google
#registration
spring.security.oauth2.client.registration.google.client-id=클라이언트ID
spring.security.oauth2.client.registration.google.client-secret=클라이언트SECRET
spring.security.oauth2.client.registration.google.scope=profile,email

scope를 지정하지 않으면 scope에 openid 항목도 default로 설정되고 Open Id Provider로 인식된다. 이렇게 되면 Open Id Provider가 아닌(네이버, 카카오) 서비스용 OAuth2Service를 따로 만들어야 한다. 하나로 관리하기 위해 scope를 지정해준다.

 

[application-oauth.properties - naver]

##naver
#registration
spring.security.oauth2.client.registration.naver.client-id=클라이언트ID
spring.security.oauth2.client.registration.naver.client-secret=클라이언트SECRET
spring.security.oauth2.client.registration.naver.redirect-uri={baseUrl}/{action}/oauth2/code/{registrationId}
spring.security.oauth2.client.registration.naver.authorization-grant-type=authorization_code
spring.security.oauth2.client.registration.naver.scope.=name,email,profile_image
spring.security.oauth2.client.registration.naver.client-name=Naver

#provider
spring.security.oauth2.client.provider.naver.authorization-uri=https://nid.naver.com/oauth2.0/authorize
spring.security.oauth2.client.provider.naver.token-uri=https://nid.naver.com/oauth2.0/token
spring.security.oauth2.client.provider.naver.user-info-uri=https://openapi.naver.com/v1/nid/me
spring.security.oauth2.client.provider.naver.user-name-attribute=response

user-name-attribute=response: 네이버 응답값의 최상위 필드를 response로 설정한다.

네이버 API는 회원 조회 시 resultcode, message, response가 응답되며, response에 회원 정보가 담겨있다. 스프링 시큐리티에서는 하위 필드를 명시할 수 없으므로 response를 최상위 필드(user_name)로 지정한다.

 

 

[application-oauth.properties - google]

 

[application.properties]

...
spring.profiles.include=oauth

application-xxx.properties를 가져올 수 있다.

 

[.gitignore]

...
application-oauth.properties

중요한 인증정보(clientId, clientSecret)가 올라가지 않도록 .gitignore에 등록하여 제외시킨다.

 

B. 권한 관리용 Enum 생성

[Role.java]

import lombok.Getter;
import lombok.RequiredArgsConstructor;

@Getter
@RequiredArgsConstructor
public enum Role {
    GUEST("ROLE_GUEST", "손님"),
    USER("ROLE_USER", "일반 사용자");

    private final String key;
    private final String title;
}

스프링 시큐리티에서는 권한 코드에 항상 ROLE_ 접두어가 붙어야 한다.

 

C. 사용자 엔티티에 권한 항목 생성

[User.java]

@Entity
public class User extends BaseTimeEntity {
    ...
    
    @Enumerated(EnumType.STRING)
    @Column(nullable = false)
    private Role role;
    
    ...
}

@Enumerated(EnumType.STRING): JPA로 데이터베이스 저장 시 Enum 값의 저장 타입 지정. 기본적으로 int로 저장되기 때문에 데이터를 알아볼 수 있도록 문자열로 지정해준다.

 

D. OAuth2 설정

[build.gradle]

...
dependencies {
    ...
    compile('org.springframework.boot:spring-boot-starter-oauth2-client')
}

 

[/config/auth/SecurityConfig.java]

import com.wrallee.book.springboot.domain.user.Role;
import lombok.RequiredArgsConstructor;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.oauth2.client.userinfo.CustomUserTypesOAuth2UserService;

@RequiredArgsConstructor
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    private final CustomOAuth2UserService customOAuth2UserService;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.
                csrf().disable()
                .headers().frameOptions().disable()
                .and()
                    .authorizeRequests()
                    //.antMatchers("/", "/css/**", "/js/**", "/h2-console/**").permitAll() // 빼먹으면 리다이렉트 되네??
                    .antMatchers("/", "/css/**", "/images/**", "/js/**", "/h2-console/**").permitAll()
                    .antMatchers("/api/v1/**").hasRole(Role.USER.name())
                    .anyRequest().authenticated()
                .and()
                    .logout()
                        .logoutSuccessUrl("/")
                .and()
                    .oauth2Login()
                        .userInfoEndpoint()
                            .userService(customOAuth2UserService);
    }
}

@EnableWebSecurity: 스프링 시큐리티 설정 활성화

authorizeRequests(): URL 별 권한 관리 설정(시작)

antMatchers(): 권한 관리 대상 지정 옵션

anyRequest(): 설정된 값 이외 나머지 URL

userInfoEndpoint(): OAuth2 로그인 성공 이후 사용자 정보를 가져올 때의 설정(시작)

userService(): 로그인 성공 시 수행 할 UserService 구현체 지정

 

[/config/auth/CustomOAuth2UserService.java]

import com.wrallee.book.springboot.config.auth.dto.OAuthAttributes;
import com.wrallee.book.springboot.config.auth.dto.SessionUser;
import com.wrallee.book.springboot.domain.user.User;
import com.wrallee.book.springboot.domain.user.UserRepository;
import lombok.RequiredArgsConstructor;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.oauth2.client.userinfo.DefaultOAuth2UserService;
import org.springframework.security.oauth2.client.userinfo.OAuth2UserRequest;
import org.springframework.security.oauth2.client.userinfo.OAuth2UserService;
import org.springframework.security.oauth2.core.OAuth2AuthenticationException;
import org.springframework.security.oauth2.core.user.DefaultOAuth2User;
import org.springframework.security.oauth2.core.user.OAuth2User;
import org.springframework.stereotype.Service;

import javax.servlet.http.HttpSession;
import java.util.Collections;

@RequiredArgsConstructor
@Service
public class CustomOAuth2UserService implements OAuth2UserService<OAuth2UserRequest, OAuth2User> {
    private final UserRepository userRepository;
    private final HttpSession httpSession;

    @Override
    public OAuth2User loadUser(OAuth2UserRequest userRequest) throws OAuth2AuthenticationException {
        OAuth2UserService delegate = new DefaultOAuth2UserService();
        OAuth2User oAuth2User = delegate.loadUser(userRequest);

        String registrationId = userRequest.getClientRegistration()
                .getRegistrationId();
        String userNameAttributeName = userRequest.getClientRegistration()
                .getProviderDetails()
                .getUserInfoEndpoint()
                .getUserNameAttributeName();

        OAuthAttributes attributes = OAuthAttributes.of(registrationId, userNameAttributeName, oAuth2User.getAttributes());

        User user = saveOrUpdate(attributes);
        httpSession.setAttribute("user", new SessionUser(user));

        return new DefaultOAuth2User(Collections.singleton(new SimpleGrantedAuthority(user.getRoleKey())),
                                                            attributes.getAttributes(),
                                                            attributes.getNameAttributeKey());
    }

    private User saveOrUpdate(OAuthAttributes attributes) {
        User user =  userRepository.findByEmail(attributes.getEmail())
                .map(entity->entity.update(attributes.getName(), attributes.getPicture()))
                .orElse(attributes.toEntity());

        return userRepository.save(user);
    }
}

OAuthAttributes, SessionUser → Dto 클래스

 

[/config/auth/dto/OAuthAttributes.java]

import com.wrallee.book.springboot.domain.user.Role;
import com.wrallee.book.springboot.domain.user.User;
import lombok.Builder;
import lombok.Getter;

import java.util.Map;

@Getter
public class OAuthAttributes {
    private Map<String, Object> attributes;
    private String nameAttributeKey;
    private String name;
    private String email;
    private String picture;

    @Builder
    public OAuthAttributes(Map<String, Object> attributes, String nameAttributeKey, String name, String email, String picture) {
        this.attributes = attributes;
        this.nameAttributeKey = nameAttributeKey;
        this.name = name;
        this.email = email;
        this.picture = picture;
    }

    public static OAuthAttributes of(String registrationId, String userNameAttributeName, Map<String, Object> attributes) {
        if ("naver".equals(registrationId)) {
            return ofNaver("id", attributes);
        }

        return ofGoogle(userNameAttributeName, attributes);
    }

    private static OAuthAttributes ofGoogle(String userNameAttributeName, Map<String, Object> attributes) {
        return OAuthAttributes.builder()
                .name((String) attributes.get("name"))
                .email((String) attributes.get("email"))
                .picture((String) attributes.get("picture"))
                .attributes(attributes)
                .nameAttributeKey(userNameAttributeName)
                .build();
    }

    private static OAuthAttributes ofNaver(String userNameAttributeName, Map<String, Object> attributes) {
        Map<String, Object> response = (Map<String, Object>) attributes.get("response");

        return OAuthAttributes.builder()
                .name((String) response.get("name"))
                .email((String) response.get("email"))
                .picture((String) response.get("profile_image"))
                .attributes(response)
                .nameAttributeKey(userNameAttributeName)
                .build();
    }

    public User toEntity() {
        return User.builder()
                .name(name)
                .email(email)
                .picture(picture)
                .role(Role.GUEST)
                .build();
    }
}

 

E. 메소드 인자로 세션값 받기

세션 값을 불러오는 기능을 어노테이션 기반으로 만들어 쉽게 활용할 수 있다.

[/config/auth/LoginUser.java]

import java.lang.annotation.ElementType;
import java.lang.annotation.Retention;
import java.lang.annotation.RetentionPolicy;
import java.lang.annotation.Target;

@Target(ElementType.PARAMETER)
@Retention(RetentionPolicy.RUNTIME)
public @interface LoginUser {
}

@Target: 어노테이션이 생성될 수 있는 위치 지정. PARAMETER로 지정하면 메소드 파라미터로 받을 수 있다.

@interface: 어노테이션 클래스임을 정의

 

[/config/auth/LoginUserArgumentResolver.java]

import com.wrallee.book.springboot.config.auth.dto.SessionUser;
import lombok.RequiredArgsConstructor;
import org.springframework.core.MethodParameter;
import org.springframework.stereotype.Component;
import org.springframework.web.bind.support.WebDataBinderFactory;
import org.springframework.web.context.request.NativeWebRequest;
import org.springframework.web.method.support.HandlerMethodArgumentResolver;
import org.springframework.web.method.support.ModelAndViewContainer;

import javax.servlet.http.HttpSession;

@RequiredArgsConstructor
@Component
public class LoginUserArgumentResolver implements HandlerMethodArgumentResolver {

    private final HttpSession httpSession;

    @Override
    public boolean supportsParameter(MethodParameter parameter) {
        boolean isLoginUserAnnotation = parameter.getParameterAnnotation(LoginUser.class) != null;
        boolean isUserClass = SessionUser.class.equals(parameter.getParameterType());

        return isLoginUserAnnotation && isUserClass;
    }

    @Override
    public Object resolveArgument(MethodParameter parameter, ModelAndViewContainer mavContainer, NativeWebRequest webRequest, WebDataBinderFactory binderFactory) throws Exception {
        return httpSession.getAttribute("user");
    }
}

supportsParameter(): 특정 파라미터를 지원하는지 판단하는 메서드. Annotation과 클래스 타입을 체크하도록 구현했다.

resolveArgument(): 파라미터에 객체를 전달.

 

[/config/WebConfig.java]

import com.wrallee.book.springboot.config.auth.LoginUserArgumentResolver;
import lombok.RequiredArgsConstructor;
import org.springframework.context.annotation.Configuration;
import org.springframework.web.method.support.HandlerMethodArgumentResolver;
import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;

import java.util.List;

@RequiredArgsConstructor
@Configuration
public class WebConfig implements WebMvcConfigurer {
    private final LoginUserArgumentResolver loginUserArgumentResolver;

    @Override
    public void addArgumentResolvers(List<HandlerMethodArgumentResolver> argumentResolvers) {
        argumentResolvers.add(loginUserArgumentResolver);
    }
}

LoginUserArgumentResolver를 등록해준다.

 

아래와 같이 @LoginUser 형태로 사용하면 된다.

...
    @GetMapping("/")
    public String index(Model model, @LoginUser SessionUser user) {
        model.addAttribute("posts", postsService.findAllDesc());
        if (user != null) {
            model.addAttribute("sessionUserName", user.getName());
        }
        return "index";
    }
...

 

F. 세션 저장소로 데이터베이스 사용

[build.gradle]

dependencies {
    ...
    compile('org.springframework.session:spring-session-jdbc')
}

 

[application.properties]

...
spring.session.store-type=jdbc

 

이후 h2-console에 접속하여 SPRING_SESSION, SPRING_SESSION_ATTRIBUTE 테이블을 확인한다.

 

4. 스프링 시큐리티 테스트

스프링 시큐리티 테스트를 위해서는 properties 설정과 테스트 라이브러리가 필요하다.

 

A. 가짜 설정값 생성

테스트 환경에서는 application.properties만 읽기 때문에 스프링 시큐리티 인증정보를 불러올 수 없다. 따라서 No qualifying bean of type 'xxx.config.auth.CustomOAuth2UserService' 라는 메시지가 표시된다.

src/test/resources에 아래 가짜 설정값을 생성해준다.

spring.jpa.show_sql=true
spring.jpa.properties.hibernate.dialect=org.hibernate.dialect.MySQL5Dialect
spring.h2.console.enabled=true
spring.session.store-type=jdbc

# Test OAuth
spring.security.oauth2.client.registration.google.client-id=test
spring.security.oauth2.client.registration.google.client-secret=test
spring.security.oauth2.client.registration.google.scope=profile,email

 

B. MockMvc 세팅

테스트 시 사용자를 지정하지 않았기 때문에 302(리다이렉션) 응답이 온다. 임의로 인증된 사용자를 추가한다.

[build.gradle]

dependencies {
    ...
    testCompile('org.springframework.security:spring-security-test')
}

 

[PostsApiControllerTest.java]

...
import org.springframework.test.web.servlet.MockMvc;
import org.springframework.test.web.servlet.MvcResult;
...

import static org.assertj.core.api.Assertions.assertThat;
import static org.springframework.security.test.web.servlet.setup.SecurityMockMvcConfigurers.springSecurity;
import static org.springframework.test.web.servlet.request.MockMvcRequestBuilders.get;
import static org.springframework.test.web.servlet.result.MockMvcResultMatchers.status;

@RunWith(SpringRunner.class)
@SpringBootTest(webEnvironment = SpringBootTest.WebEnvironment.RANDOM_PORT)
public class PostsApiControllerTest {
    @LocalServerPort
    private int port;

    @Autowired
    private WebApplicationContext context;

    private MockMvc mvc;

    ...

    @Before
    public void setup() {
        mvc = MockMvcBuilders
                .webAppContextSetup(context)
                .apply(springSecurity())
                .build();
    }

    ...

    @Test
    @WithMockUser(roles = "USER")
    public void postsFindById() throws Exception {
        // given
        Posts posts = postsRepository.save(Posts.builder()
                .title("title")
                .content("content")
                .author("author")
                .build());

        Long generatedId = posts.getId();

        String url = "http://localhost:" + port + "/api/v1/posts/" + generatedId;

        // when
        MvcResult result = mvc.perform(get(url)
                .contentType(MediaType.APPLICATION_JSON_UTF8)
                .content(new ObjectMapper().writeValueAsString(generatedId)))
                .andExpect(status().isOk())
                .andReturn();

        // then
        ObjectMapper mapper = new ObjectMapper();
        PostsResponseDto dto = mapper.readValue(result.getResponse().getContentAsString(), PostsResponseDto.class);

        assertThat(dto.getId()).isEqualTo(generatedId);
    }
    
    ...
    
}

@WithMockUser(roles = "USER"): ROLE_USER 권한을 가진 인증된 모의 사용자를 만들어서 사용한다.

setup(): 테스트 시작 전 MockMvc 인스턴스 생성.

mvc.perform(): 생성 된 MockMvc를 통해 API를 테스트.

mapper.readValue(...): 응답 값을 PostsResponseDto 객체로 변환