💡 WHY?
- 기존의 스프링부트 프로젝트는 로그인을 하지 않더라도 페이지의 주소만 알면 접근이 가능했던(물론 로그인 정보는 뜨지 않지만) 문제가 있었다.
- 페이지 접근에 있어서 로그인 한 경우에만 로그인 페이지 그 외의 페이지들을 접근할 수 있도록 하는 기능이 필요하다.
- 이를 해결하기 위해 '스프링부트 Security'를 적용해보자.
아직 spring security에 대한 기본 지식이 많이 부족하므로, 기본적인 것부터 하나씩 추가해보려고 한다.
✔ Spring Security 기본 설정 시작
- Gradle에 security 의존성을 추가해준다.
(gradle 수정 후에는 항상 build(코끼리 누르기)해 줄 것을 잊지말 것!)
implementation 'org.springframework.boot:spring-boot-starter-security'//spring security 추가- security 클래스 추가하기.
config 디렉토리 하에 security 디렉토리를 생성해준 후, LoginIdPwValidator.java와 SpringSecurityConfig.java 클래스를 생성해준다.
- 일단 LoginIdPwValidator는 건너 뛴다.
- SpringSecurityConfig 클래스를 아래와 같이 설정해준다.
@Configuration
@EnableWebSecurity
public class SpringSecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.anyRequest().authenticated()
.and()
.formLogin()
.defaultSuccessUrl("/main", true)//"/"로 가도 됨.
.permitAll()
.and()
.logout();
}
}- SpringSecurityConfig 클래스는 WebSecurityConfigurerAdapter를 상속받아 사용하고, WebSecurityConfigurerAdapter에 정의된 다양한 security함수들을 오버라이딩하여 목적에 맞게 사용할 수 있다.
- 이 때 @Configuration과 @EnableWebSecurity 어노테이션을 추가해 주면 된다.
- configure함수를 오버라이딩 한 것이고, 일단은 HttpSecurity 만을 인자로 가지도록 하였다.
- 아래 함수의 역할은 '어떤 URI로 접근하든지 인증이 필요하다'는 것이다.
anyRequest().authenticated()- 아래 함수의 역할은 '폼 방식 로그인을 사용할 것'임을 나타내고, 아래 로그아웃도 추가해주었다.
formLogin()- 아래 함수의 역할은 '로그인이 완료되면 해당 URI로 이동할 것'임을 나타낸다.
defaultSuccessUrl("/main", true)
✔ 스프링 시큐리티 예외 처리
현재 상태는 모든 경로에 대해서 사용자 접근이 제한되어 있다.
로그인 페이지나 소개 페이지 같은 페이지들은 로그인 없이도 접근 가능해야 한다.
따라서 특정 페이지에 대한 경로 제한을 풀어주는 예외처리가 필요하다.
로그인페이지의 URI는 "/"이므로 이 경로에 대해서만 접근을 허용하기 위해 다음과 같은 코드를 SpringSecurityConfig에 추가해 주어야 한다.
'.antMatchers("/").permitAll()'
여기서 .antMatchers("/")는 Spring Security에서 URL 경로에 대한 권한 설정을 하는 부분 중 하나이다. 이 설정은 "/" 경로에 대한 URL 접근을 나타낸다.
여기에 .permitAll()을 붙여주면 모든 사용자가 이 경로에 접근하도록 허용한다.
따라서 이 코드는 로그인페이지에 대해서는 예외적으로 모든 사용자가 로그인을 하지않아도 접근할 수 있게 해준다.
허용하고 싶은 페이지가 여러 개라면, .antMatchers("/","/a",..) 이런식으로 경로를 나열해주면 된다.
백엔드와 프론트엔드가 분리되지 않은 프로젝트(스프링부트에서 jsp나 타임리프를 붙여서 하나의 프로젝트로 백엔드+프론트엔드를 전부 처리하는 프로젝트)는 css나 이미지 파일 등의 경우 인증이 되지 않은 상태에서도 보여져야 할 수 있다. 이 경우에는 별도로 WebSecurity 하나를 인자로 갖는 configure를 오버라이딩 해서 예외 처리를 할 수 있다.
위에서 설명한 두가지 예외처리에 대해 적용하면 아래와 같다.
@Configuration
@EnableWebSecurity
public class SpringSecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.antMatchers("/").permitAll()//로그인 페이지를 제외하고 나머지 페이지는 접근 금지
.anyRequest().authenticated()
.and()
.formLogin()
.defaultSuccessUrl("/main", true)//"/"로 가도 됨.
.permitAll()
.and()
.logout();
}
@Override
public void configure(WebSecurity web) throws Exception {
web.ignoring().antMatchers("/static/**");
}
}
내 프로젝트의 경우 /static 폴더 하에 바로 img들이 있고, css 파일이 있으므로 static폴더 하위에 대해 보안 설정에 있어 모두 예외처리를 해주도록 하였다.
오늘은 여기까지.
📒 아래의 블로그를 참고함.
https://nahwasa.com/entry/%EC%8A%A4%ED%94%84%EB%A7%81%EB%B6%80%ED%8A%B8-Spring-Security-%EA%B8%B0%EB%B3%B8-%EC%84%B8%ED%8C%85-%EC%8A%A4%ED%94%84%EB%A7%81-%EC%8B%9C%ED%81%90%EB%A6%AC%ED%8B%B0
스프링부트 Spring Security 기본 세팅 (스프링 시큐리티)
[ 2023-02-10 추가 ] 스프링부트 3.0 이상에 적용하실 경우 '스프링부트 3.0이상 Spring Security 기본 세팅 (스프링 시큐리티)' 글을 참고해주세요. 버전 상관없이 시큐리티 기본 세팅을 익히실 경우에도
nahwasa.com
'Web Application > Backend' 카테고리의 다른 글
| 인터페이스? API? 인터페이스 개념 확실히 알기! (0) | 2023.11.02 |
|---|---|
| RESTful API 개념 확실히 잡기!!! (0) | 2023.10.10 |
| [스프링부트] Pageable 인터페이스로 페이징 기능 구현하기 (0) | 2023.07.06 |
| 스프링부트 test code 작성해보기 (0) | 2023.07.05 |
| [스프링부트] 트랜잭션 문제 해결하기-"No EntityManager with actual transaction available for current thread - cannot reliably process 'remove' call" (0) | 2023.06.28 |