Spring Security 실습1 - url설계를 통한 접근 제한 방법

📌 해당 실습을 하기 전 아래의 게시물을 참고하여 스프링 시큐리티 설정을 완료해야합니다.

2021.08.19 - [Spring/개념지식 및 에러사항] - [Spring] Spring Web Security 설정하기

[Spring] Spring Web Security 설정하기

---

 

시큐리티가 필요한 URL 설계

 

시큐리티를 사용하여 제어해야하는 URL을 설계하는 작업을 실습해보자.

1. 로그인을 하지 않은 사용자도 접근 가능한 URL ➔ /sample/all

2. 로그인 한 사용자들이 접근할 수 있는 URL ➔  /sample/member

3. 로그인 한 사용자들 중에서도 관리자 권한을 가진 사용자만이 접근할 수 있는 URL ➔  /sample/admin

 

위의 세가지 규칙에 맞게 컨트롤러를 작성한 경우 아래와 같은 코드가 나올 것이다.

 

SampleController.java

package com.taeong.controller;

import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RequestMapping;

import lombok.AllArgsConstructor;
import lombok.extern.log4j.Log4j;

@Controller
@Log4j
@RequestMapping("/sample/*")
@AllArgsConstructor
public class SampleController {
	
	@GetMapping("/all")
	public void doAll() {
		log.info("do all can access everybody.");
	}
	@GetMapping("/member")
	public void doMember() {
		log.info("logined member");
	}
	@GetMapping("/admin")
	public void doAdmin() {
		log.info("admin only");
	}
}

url에 맞는 각각의 화면을 작성한다. (jsp파일이 세 개 나오면 됨)

 

 

url에 해당하는 페이지별로 접근하는 사용자의 권한을 부여하기 위해서는 다음 내용을 학습해야 한다.

(스프링 시큐리티에서 가장 중요한 용어들이라고 한다.)

 

Authentication(인증) : 자신을 증명하는 것

Authorization(권한) : 남에게 자격을 부여받는 것

 

그니까... 'Authentication'은 로그인같이 내가 접근하기 위해 증명하는 작업이고,

'Authorization'는 내가 만약 관리자인 경우, 관리자가 접근할 수 있는 권한을 부여받는 것!

 

 

스프링 시큐리티에는 인증 담당자 역할을 하는 AuthenticationManager(인증 매니저)가 있다.

여러 provider를 처리하는 ProviderManager는 인증에 대한 처리를 AuthenticationProvider(인증 제공자)라는 타입의 객체를 이용해서 처리를 위임한다.

 

AuthenticationProvider는 실제 인증 작업을 진행한다.

이때, 인증된 정보에는 권한에 대한 정보를 같이 전달하게 되는데(일반 사용자인 경우와 관리자인 경우의 권한이 각각 다른 것 처럼 인증 정보마다 권한이 다를 수 있음)  이 처리는 UserDetailsService가 수행한다.

UserDetailsService는 사용자의 정보와 사용자가 가진 권한의 정보를 처리해서 반환해준다.

 

 

개발자가 스프링 시큐리티를 커스터마이징하는 방식

1. UserDetailsService를 구현하는 방식 - 실제 처리를 담당

2. AuthenticationProvider를 직접 구현하는 방식

-> 새로운 프로토콜이나 인증 구현 방식을 직접 구현하는 경우에 적합

 

 

---

 

해당 게시물에서 실습해볼 것은 뭔가 그다지 멋있지는 않지만🤷‍♀️

약간의 설정만으로 로그인과 접근제한을 할 수 있는 기능이다. 

 

 

security-context.xml에 아래와 같이 접근 제한을 설정한다.

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xmlns:security="http://www.springframework.org/schema/security"
	xsi:schemaLocation="http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd
		http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
	<security:http>
	<security:intercept-url pattern="/sample/all" access="permitAll"/>
	<security:intercept-url pattern="/sample/member" access="hasRole('ROLE_MEMBER')"/>
		<security:form-login />
	</security:http>
	<security:authentication-manager>
	</security:authentication-manager>
</beans>

<security:intercept-url> : 특정한 URL에 접근할 때 인터셉터를 이용해서 접근을 제한하는 설정을 하는 경우 이용

pattern : url의 패턴

access : 권한 체크

두 속성은 반드시 <security:intercept-url>에서 지정해주어야 하는 필수 속성이라는 것을 기억해두자!

 

위의 코드의 일부분을 설명하자면 다음과 같은 내용이다.

<security:intercept-url pattern="/sample/member" access="hasRole('ROLE_MEMBER')"/>

== '/sample/member'라는 url은 ROLE_MEMBER라는 권한이 있는 사용자만 접근할 수 있다.

 

 

access의 속성값으로 사용되는 문자열로 다음 두 가지를 이용할 수 있다.

1) 표현식 ➔ 실습에서는 표현식을 이용한다.

2) 권한명(단순 문자열)

 

👇 실습에서는 다루지 않지만 access의 속성값으로 단순 문자열을 이용하는 경우

아래와 같이 use-expressions를 false로 지정해서 표현식을 사용하지 않는다는 것을 알려준다.

(<security:http>는 기본 설정이 표현식을 이용하는 것)

<security:http auto-config="true" use-expressions="false">
    <security:intercept-url pattern="/sample/userPage" access="ROLE_MEMBER" />
    <security:intercept-url pattern="/sample/adminPage" access="ROLE_ADMIN" />

그러나 표현식을 사용하는 방식이 권장되므로 표현식을 사용하는 방법으로 실습을 진행하도록 한다.

 

 

security-context.xml에서 url에 따라 접근 권한을 다르게 지정하였기 때문에 실제로 서버를 돌려서 /all와 /member에 접근해보면 다른 상황이 일어남을 확인할 수 있다.

 

/sample/all로 접근한 경우

/sample/member로 접근한 경우

/sample/member는 로그인페이지(/login)로 강제 이동하는 것을 확인할 수 있다.

(우리는 /login컨트롤러나 jsp를 작성해주지 않았다!😮)

이로써 기본적으로 생성되는 로그인 페이지는 스프링 시큐리티가 기본으로 제공하는 페이지라는 점을 알 수 있다.

 

그러나 아직 우리는 로그인 기능을 사용할 수 없는 상태이기 때문에 추가적인 설정을 통해 지정한 아이디와 패스워드로 접근하는 방법을 이어서 진행해보겠다.

 

---

단순 로그인 처리

스프링 시큐리티에서의 의미 차이

(일반적인 시스템에서의 의미와 다르니 주의할 것!)

username : 일반 시스템에서의 userid와 같음 (!= 유저명)

user : 인증 정보와 권한을 가진 객체 (!= 사용자 정보를 가진 객체)

 

테스트를 위해 단순히 로그인이 처리되는 것을 확인하려고 한다.

메모리상에 문자열을 지정하고 해당 아이디/패스워드를 입력하였을 때 동작하도록 설정하는 작업을 한다.

 

security-context.xml에 주석으로 표시된 부분 아래 코드들을 수정한다.

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xmlns:security="http://www.springframework.org/schema/security"
	xsi:schemaLocation="http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd
		http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
	<security:http>
		<security:intercept-url pattern="/sample/all"
			access="permitAll" />
		<security:intercept-url
			pattern="/sample/member" access="hasRole('ROLE_MEMBER')" />
		<security:form-login />
	</security:http>
	<security:authentication-manager>
	<!-- 추가된 부분 -->
		<security:authentication-provider>
			<security:user-service>
				<security:user name="member" password="{noop}member"
					authorities="ROLE_MEMBER"/>
			</security:user-service>
		</security:authentication-provider>
	</security:authentication-manager>
</beans>

user의 id는 'member'로, password도 'member'로 준 상황이다.

authorities속성에는 member에게 사용자 권한을 주어 로그인이 가능하도록 설정해주었다.

 

password의 {noop}은 스프링 시큐리티 5버전부터 필수적으로 사용해야 하는 PasswordEncoder를 지정하지 않았을 때 에러가 나는 경우를 방지하기 위한 문자열이다.

뭐... 잘 모르겠지만 PasswordEncoder를 지정하지 않고 임시 방편으로 포맷팅 처리를 지정해서 패스워드 인코딩 방식을 지정할 수 있다(5버전의 경우)는데 패스워드 인코딩 처리없이 사용하고 싶을 때 패스워드 앞에 {noop}을 추가하면 된다고 한다. 🤷‍♀️(?)

 

다시 서버를 실행해서 (다시 서버 실행 안해주면 제대로 동작하지 않는다.)

/member로 접근한 뒤, member/member로 로그인해주면 아래와 같이 /member페이지에 접근할 수 있게 된다.

로그인을 한 경우, 오른쪽처럼 개발자도구의 Application탭을 확인해보면 Cookies에 'JSESSIONID'와 같이 세션을 유지하는 데 사용되는 세션 쿠키의 존재를 확인할 수 있다.

JSESSIONID = Tomcat에서 발행하는 쿠키 이름 이기 때문에 WAS마다 다른 이름을 사용한다는 것을 알아두자.

 

로그아웃을 하는 경우에는 해당 JSESSIONID쿠키를 강제로 삭제하여 처리한다.

 

---

여러 권한을 가지는 사용자 설정

 

관리자같이 일반사용자의 권한도 가지고, 관리자의 권한도 가지는 경우가 있다.

그런 경우 'ROLE_ADMIN'와 'ROLE_MEMBER'라는 2개의 권한을 가지도록 지정해준다.

security-context.xml에 주석처리 해놓은 부분을 추가한다.

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xmlns:security="http://www.springframework.org/schema/security"
	xsi:schemaLocation="http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd
		http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
	<security:http>
		<security:intercept-url pattern="/sample/all"
			access="permitAll" />
		<security:intercept-url
			pattern="/sample/member" access="hasRole('ROLE_MEMBER')" />
			<security:intercept-url
			pattern="/sample/admin" access="hasRole('ROLE_ADMIN')" /><!-- 추가된 부분 -->
		<security:form-login />
	</security:http>
	<security:authentication-manager>
		<security:authentication-provider>
			<security:user-service>
                            <security:user name="member" password="{noop}member" authorities="ROLE_MEMBER"/>
                            <!-- 추가된 부분 -->
                            <security:user name="admin" password="{noop}admin" authorities="ROLE_MEMBER, ROLE_ADMIN"/>
			</security:user-service>
		</security:authentication-provider>
	</security:authentication-manager>
</beans>

추가된 부분을 설명하자면..

<security:intercept-url pattern="/sample/admin" access="hasRole('ROLE_ADMIN')" />

/sample/admin url에 대한 접근을 설정함

 

<security:user name="admin" password="{noop}admin" authorities="ROLE_MEMBER, ROLE_ADMIN"/>

admin/admin으로 로그인한 사용자는 'ROLE_MEMBER'와 'ROLE_ADMIN'라는 2개의 권한을 가짐

 

이 경우, admin은 /member와 /admin에 모두 접근할 수 있다.

 

---

접근 제한 메시지 처리

'ROLE_MEMBER' 권한만 가진 member사용자가 /admin페이지에 접근하려고 한다면 'ROLE_ADMIN'권한을 가지고 있지 않아 접근에 제한을 받을 것이다.

해당 상황처럼 접근을 시도하면 아래의 이미지처럼 Forbidden에러를 보게 된다.

 

member/member로 로그인하고 /sample/admin url로 접근한 경우

스프링 시큐리티에서는 접근 제한에 대해서 특정한 URL를 지정하거나 AccessDeniedHandler를 직접 구현할 수 있다.

이 경우 <security:access-denied-handler>를 security-context.xml에서 사용한다.

 

 

1) 특정한 URL을 지정하는 경우

error-page를 지정해서 /accessError라는 url로 접근하는 경우 접근 제한 화면을 처리한다.

 

security-context.xml에 주석처리 해놓은 부분을 추가한다.

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xmlns:security="http://www.springframework.org/schema/security"
	xsi:schemaLocation="http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd
		http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
	<security:http auto-config="true" use-expressions="true">	<!-- 추가됨 -->
		<security:intercept-url pattern="/sample/all"
			access="permitAll" />
		<security:intercept-url
			pattern="/sample/member" access="hasRole('ROLE_MEMBER')" />
			<security:intercept-url
			pattern="/sample/admin" access="hasRole('ROLE_ADMIN')" />
		<security:form-login />
		<security:access-denied-handler error-page="/accessError"/>	<!-- 추가됨 -->
	</security:http>
	<security:authentication-manager>
		<security:authentication-provider>
			<security:user-service>
				<security:user name="member" password="{noop}member"
					authorities="ROLE_MEMBER"/>
					<security:user name="admin" password="{noop}admin"
					authorities="ROLE_MEMBER, ROLE_ADMIN"/>
			</security:user-service>
		</security:authentication-provider>
	</security:authentication-manager>
</beans>

<security:access-denied-handler>의 error-page속성에 /accessError url을 지정해주었다.

/accessError 의 컨트롤러를 만들어주기 위해 CommonController.java파일을 생성한다.

 

CommonController.java

package com.taeong.controller;

import org.springframework.security.core.Authentication;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.GetMapping;

import lombok.extern.log4j.Log4j;

@Controller
@Log4j
public class CommonController {	//간단히 사용자가 알아볼 수 있는 에러메시지만을 Model에 추가
	
	@GetMapping("/accessError")
	public void accessDenied(Authentication auth, Model model) {
		//Authentication타입의 파라미터를 받도록 설계해서 필요한 경우 사용자의 정보를 확인할 수 있도록 함
		log.info("access Denied : "+auth);
		model.addAttribute("msg","Access Denied");
	}
}

 

accessError.jsp

<%@ page language="java" contentType="text/html; charset=UTF-8"
	pageEncoding="UTF-8"%>
<%@ taglib uri="http://java.sun.com/jsp/jstl/core" prefix="c"%>
<%@ taglib uri="http://www.springframework.org/security/tags"
	prefix="sec"%>
<%@ page import="java.util.*"%>
<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<title>Insert title here</title>
</head>
<body>
	<h1>Access Denied Page</h1>
	<h2>
		<c:out value="${SPRING_SECURITY_403_EXCEPTION.getMessage() }" />
	</h2>
	<h2>
		<c:out value="${msg}" />
	</h2>
</body>
</html>

Access Denied의 경우는 403 에러 메시지가 발생한다.

JSP에서는 HttpServlet Request 안에 'SPRING_SECURITY_403_EXCEPTION'이라는 이름으로 Access DeniedException 객체가 전달된다.

member/member로 로그인한 사용자가 /admin에 접근하는 경우, 이전에는 Forbidden 에러 화면이 떴지만 해당 작업을 통해 accessError.jsp의 내용이 보이게 된다.

 

member/member로 로그인해서 admin페이지에 접근하는 경우 log창에서 아래와 같이 접근을 시도한 사용자의 정보를 확인할 수 있다. (log.info("access Denied : "+auth); 부분)

INFO : com.taeong.controller.CommonController - access Denied : org.springframework.security.authentication.UsernamePasswordAuthenticationToken@ff722209: Principal: org.springframework.security.core.userdetails.User@bfc28a9a: Username: member; Password: [PROTECTED]; Enabled: true; AccountNonExpired: true; credentialsNonExpired: true; AccountNonLocked: true; Granted Authorities: ROLE_MEMBER; Credentials: [PROTECTED]; Authenticated: true; Details: org.springframework.security.web.authentication.WebAuthenticationDetails@fffde5d4: RemoteIpAddress: 0:0:0:0:0:0:0:1; SessionId: 71A6D88EE2BE6A8CCEEF15BC9B1A015D; Granted Authorities: ROLE_MEMBER

 

 

2) AccessDeniedHandler 인터페이스를 구현하기

<security:access-denied-handler error-page="/accessError">를 사용했을 때는 error-page만을 제공하기 때문에 사용자가 접근했던 url에 변화가 생기지 않는다.

위의 이미지를 보면 그대로 /sample/admin에 위치하고 있지만 화면만 accessError.jsp의 내용로 바뀐 것을 볼 수 있다.

 

접근이 제한된 경우에 다양한 처리를 하고 싶다면 직접 AccessDeniedHandler 인터페이스를 구현하는 방법이 좋다.

새로 security패키지를 생성하고 (내 경우에는 com.taeong.security라는 패키지명으로 사용하였다.) CustomAccessDeniedHandler.java를 추가하였다.

AccessDeniedHandler 인터페이스를 inplements해주고 오버라이딩으로 AccessDeniedHandler의 추상메소드들을 구현해준다.

 

CustomAccessDeniedHandler.java

package com.taeong.security;

import java.io.IOException;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import org.springframework.security.access.AccessDeniedException;
import org.springframework.security.web.access.AccessDeniedHandler;

import lombok.extern.log4j.Log4j;

@Log4j
public class CustomAccessDeniedHandler implements AccessDeniedHandler{
	
	//AccessDeniedHandler 인터페이스를 직접 구현하는 방법
	@Override
	public void handle(HttpServletRequest request, HttpServletResponse response,
			AccessDeniedException accessDeniedException) throws IOException, ServletException {
		log.error("Access Denied Handler");
		log.error("Redirect....");
		response.sendRedirect("/accessError");
	}
	
}

 

security-context.xml에서는 error-page속성 대신에 CustomAccessDeniedHandler를 빈으로 등록해서 사용할 것이기 때문에 아래의 코드를 참조하여 <bean>을 security-context.xml에 추가한다.

<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
	xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
	xmlns:security="http://www.springframework.org/schema/security"
	xsi:schemaLocation="http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd
		http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
	
	<!-- 추가된 부분 -->
	<bean id="customAccessDenied" class="com.taeong.security.CustomAccessDeniedHandler"></bean>
	
	<security:http auto-config="true" use-expressions="true">
		<security:intercept-url pattern="/sample/all"
			access="permitAll" />
		<security:intercept-url
			pattern="/sample/member" access="hasRole('ROLE_MEMBER')" />
			<security:intercept-url
			pattern="/sample/admin" access="hasRole('ROLE_ADMIN')" />
		<security:form-login />
		<!-- <security:access-denied-handler error-page="/accessError"/>  --><!-- 삭제된 부분 -->
		<security:access-denied-handler ref="customAccessDenied"/><!-- 추가된 부분 -->
	</security:http>
	<security:authentication-manager>
		<security:authentication-provider>
			<security:user-service>
				<security:user name="member" password="{noop}member"
					authorities="ROLE_MEMBER"/>
					<security:user name="admin" password="{noop}admin"
					authorities="ROLE_MEMBER, ROLE_ADMIN"/>
			</security:user-service>
		</security:authentication-provider>
	</security:authentication-manager>
	
</beans>

 

서버를 재실행하여 member/member로 로그인한 뒤 /admin url로 접근하면 다음과 같이 accessError로 리다이렉트 되는 것을 확인할 수 있다.