spring security2 (spring boot , 타임리프 사용 / form로그인) - view

👇1편의 내용을 진행한 후 2편을 확인해주세요.

spring security1 (spring boot , 타임리프 사용 / form로그인) - 구조 분석 및 로직 코드 작성

 

 

작성한 view의 핵심 코드만 소개합니다. 

전체 코드가 필요하신 경우 github에서 확인할 수 있습니다. 🙂

https://github.com/ty990520/spring-security/tree/master

GitHub - ty990520/spring-security: spring-security form login

---

10. view 연결

 

시큐리티에서 사용하는 코드가 아닌 경우 Controller코드는 생략하였다.

 

먼저 join.html 코드를 작성해보자.

<form action="/join" method="post">
    userid : <input type="text" name="userid" value="taeong">
    password : <input type="password" name="password" value="12345">
    <input type="radio" name="authRole" value="ADMIN,USER"> admin
    <input type="radio" name="authRole" value="USER" checked="checked"> user <br>
    <button type="submit">join</button>
</form>

앞 게시글에서 설명했듯이, input값에 value="ADMIN,USER" 처럼 값을 지정하면 SecurityConfig에서 hasAuthority()를 사용해야 하고, value="ROLE_ADMIN, ROLE_USER"로 값을 지정하면 hasRole()을 사용해야함을 잊지말자.

Controller에서 유저를 save하는 메소드를 사용해 유저를 저장한다.

 

 

​

다음은 login.html 코드를 작성한다. 

<form action="/loginProcess" method="POST">
    userid : <input type="text" name="userid" value="taeong">
    password : <input type="password" name="password" value="12345" >
    <button type="submit">login</button>
</form>

각 input태그의 name값에는 http.formLogin()에 매핑한 값과 같게 작성한다.

그리고 중요한 부분은 form의 action이 /login이 아니라 /loginProcess로 설정되어야 한다는 점이다.

이 /loginProcess는 스프링 시큐리티가 내부적으로 자동처리를 하기 때문에 Controller에 직접 정의할 필요가 없다.

 

<div th:if="${param.error}"><span th:text="${param.exception}" style="color: red;"></span></div>

만약 로그인이 실패한 경우 파라미터에 제공된 error여부를 통해 exception메시지를 출력해준다.

이 exception메시지는 customLoginFailureHandler에서 반환된 msg값이 된다.

 

login처리 시 주의할 점은 Controller에 로그인하는 코드를 포함한 메소드를 작성할 필요가 없다는 것이다.

스프링 시큐리티에서 알아서 로그인을 하기 때문에 Controller에는 login페이지를 확인할 수 있는 GET방식의 메소드만 작성해주면 된다.

 

 

 

로그인 성공 후 접근할 수 있는 user.html에는 아래의 코드를 추가할 수 있다.

<span style="margin:0; padding: 15px;">
    <span sec:authentication="authorities" style="color: #ff6d6d"></span>
    <span sec:authentication="name"></span>
</span>

현재 접속된 권한과 사용자 이름(=userid)을 화면에 띄워준다.

ADMIN은 USER의 권한도 가지고 있기 때문에 user페이지에 접근할 수 있다.

 

 

로그아웃을 하는 경우에는 따로 view를 작성하지 않고 Controller만 작성해준다.

@GetMapping("/logout")
public String logoutPage(HttpServletRequest request, HttpServletResponse response) {
    new SecurityContextLogoutHandler().logout(request, response, SecurityContextHolder.getContext().getAuthentication());
    return "redirect:/login";
}

SecurityContextLogoutHandler에서 logout()를 사용하여 로그아웃을 처리해준 뒤, 다시 /login으로 redirect한다.

 

---

 

11. 실행 결과 확인하기

 

build.gradle, application.yml설정 및 view의 전체 코드, 디렉토리 구조 등은 github에서 자세히 확인할 수 있다.

내용이 너무 길어져서 로직과 뷰를 분리하긴 했지만... 내부 구조가 너무나도 복잡한 시큐리티....☹️