스프링 시큐리티 -> 막강한 인증(Authentication)과 인가(Authorization) 기능을 가진 프레임워크
5.1 스프링 시큐리티와 스프링 시큐리티 Oauth2 클라이언트
많은 서비스에서 로그인 기능을 id/password 보다는 구글, 페이스북, 네이버 로그인과 같은 소셜로그인 기능을 사용
-> why ?? 배보다 배꼽이 커지는 경우가 많기 때문에.
직접 구현하면 구현해야할 내용
- 로그인시 보안
- 회원가입 시 이메일 혹은 전화번호 인증
- 비밀번호 찾기
- 비밀번호 변경
- 회원정보 변경
Oauth 로그인 구현시 앞선 목록의 것들은 모두 구글, 카카오, 페이스북에 맡기면 되니 서비스개발에 집중할 수 있다.
spring-security-oauth2-autoconfigure 라이브러리를 사용하면 스프링2에서도 1.5에서 쓰던 설정 그대로 사용 가능.
하지만 이책에서는 스프링 부트 2방식인 Spring Security Oauth2 Client 라이브러리를 사용해서 진행.
이유
- 스프링 팀에서 기존 1.5에서 사용되던 spring-security-oauth 프로젝트는 유지 상태로 결정했고 신규기능은 추가하지 않겠다고 함. 신규기능은 oauth2라이브러리에서만 지원하겠다고 선언.
- 스프링부트용 라이브러리(starter) 출시
- 기존에 사용되던 방식은 확장 포인트가 적절하게 오픈되어 있지않아 직접 상속하거나 오버라이딩했어야함.
- 신규라이브러리의 경우 확장 포인트를 고려해서 설계된 상태이다.
스프링 부트 1.5 방식
url 주소 모두 명시
직접입력
스프링 부트 2.0 방식
client 인증정보만 입력
enum으로 대체(CommonOAuth2Provider) -> 구글 깃헙 페이스북, 옥타의 기본 설정값은 모두여기서 제공.
구글 서비스에 등록
구글 서비스에 신규서비스를 생성하고 여기서 발급된 인증정보(cliendId와 clientSecret)을 통해 로그인기능과 소셜서비스 기능을 사용할 수 있으니 발급 받고 시작.
https://console.cloud.google.com
프로젝트 선택 탭을 누르고 새 프로젝트를 선택(원하는이름).
생성이 완료되면 왼쪽메뉴 탭 누르고 API 및 서비스 카테고리 클릭.
사용자 인증정보 클릭, 사용자 인증정보 만들기 클릭
사용자 인증정보 만들기 클릭.
여러가지 메뉴가 있는데 책에서는 OAuth 클라이언트 ID로 구현한다. 클릭후 동의화면 구성 버튼 클릭
동의화면 구성
- 애플리케이션 이름: 구글 로그인시 사용자에게 노출된 애플리케이션 이름을 이야기한다.
- 지원 이메일: 사용자 동의 화면에서 노출될 이메일 주소. 보통은 서비스의 help 이메일 주소를 사용하지만, 여기서는 독자의 이메일 주소 사용.
- google api의 범위: 이번에 등록할 구글 서비스에서 사용할 범위 목록. 기본값은 email/profile/openid이며 책에서는 기본 범위 만사용. 이외 다른 정보들사용하고 싶으면 범위 추가버튼으로 추가하면 됨.
동의화면 구성 후 저장 누르기.
승인된 리디렉션 URL
- 서비스에서 파라미터로 인증 정보를 주었을 때 인증이 성공하면 구글에서 리다이렉트할 URL
- 스프링 부트 2버전의 시큐리티에서는 기본적으로 {도메인}/login/oauth2/code/{소셜서비스코드}로 리다이렉트 URL을 지원하고 있다.
- 사용자가 별도로 리다이렉트 URL을 지원하는 Controller를 만들 필요가 없습니다. 시큐리티에서 이미 구현해놓은 상태
- 현재는 개발 단계이므로 http://localhost:8080/login/oauth2/code/google 로만 등록한다.
- AWS서버에 배포하게 되면 localhos외에 추가로 주소를 추가해야하며, 이건 이후 단계에서 진행.
이제 생성된 사용자 인증정보바탕으로 프로젝트에 설정 해보겠다.
spring.security.oauth2.client.registration.google.client-id=클라이언트ID
spring.security.oauth2.client.registration.google.client-secret = 클라이언트 보안 비밀
spring.security.oauth2.client.registration.google.scope=profile,emailapplication properties에 추가.
scope = profile,email
- 많은 예제에서는 이 scope를 별도로 드록X
- 기본ㄱ밧이 openid, email, profile 이기 때문
- 강제로 profile,email을 등록한 이유는 openid라는 scope가 있으면 Open Id Provider로 인식하기 때문이다.
- 이렇게 되면 OpenId provider인 서비스(구글)와 그렇지않은 서비스(네이버/카카오)로 나눠서 각각 OAuth2Service를 만들어야함.
- 하나의 OAuth2Service로 사용하기 위해 일부러 openid scope를 빼고 등록.
스프링 부트에서는 properties의 이름을 application-xxx.properties로 만들면 xxx라는 이름의 profile이 생성되어 이를 통해 관리할 수 있다. 호출하는 방식은 여러가지 방식이 있지만 이책에서는 스프링 부트의 기본 설정 파일인 application.properties에서 applicaiton-oauth.properties를 포함하도록 구성한다.
spring.profiles.include=oauth
코드 추가. 이제 이설정값을 사용할 수 있게 되었다
.gitignore 등록
구글 로그인을 위한 클라이언트 ID와 클라이언트 보안 비밀은 보안이 중요한 정보들. 이들이 외부에 노출되면 언제든 개인정보를 가져갈 수 있는 취약점이 될 수 있다.
지금 깃허브와 연동하다보니 applicaiton-oauth.properties 파일이 깃허브에 올라갈 수 있기 때문에 이를 방지하기위해 .gitignore에 코드 추가.
5.3 구글 로그인 연동하기.
java/org/example/awsspring/domain/user/User.java
@Getter
@NoArgsConstructor
@Entity
public class User extends BaseTimeEntity {
@Id
@GeneratedValue(strategy = GenerationType.IDENTITY)
private Long id;
@Column(nullable = false)
private String name;
@Column(nullable = false)
private String email;
@Column
private String picture;
@Enumerated(EnumType.STRING)
@Column(nullable = false)
private Role role;
@Builder
public User(String name, String email, String picture, Role role) {
this.name = name;
this.email = email;
this.picture = picture;
this.role = role;
}
public User update(String name, String picture){
this.name = name;
this.picture = picture;
return this;
}
public String getRoleKey(){
return this.role.getKey();
}
}
@Enumerated(EnumType.STRING)
- JPA로 DB에 저장할 때 Enum 값을 어떤 형태로저장할지를 결정.
- 기본적으로 int로 된 숫자가 저장.
- 숫자로 저장되면 DB로 확인할 때 그값이 무슨 코드를 의미하는지 알 수 가없다.
- 그래서 문자열(EnumType.STRING)로 저장될 수 있도록 선언.
@Getter
@RequiredArgsConstructor
public enum Role {
GUEST("ROLE_GUEST", "손님"),
USER("ROLE_USER","일반 사용자");
private final String key;
private final String title;
}각 사용자의 권한을 관리할 Enum 클래스 Role 선언
스프링 시큐리티에서는 권한 코드에 항상 ROLE_이 앞에 있어야함.
그래서 코드별 키값을 ROLE_GUEST, ROLE_USER로 지정.
public interface UserRepository extends JpaRepository<User,Long> {
Optional<User> findByEmail(String email);
}마지막으로 User의 CRUD를 책임질 UserRepository도 생성.
findByEmail
소셜 로그인으로 반환되는 값 중 email을 통해 생성된 사용자인지 처음 가입하는 사용자인지 판단하기 위한 메서드.
스프링 시큐리티 설정
implementation('org.springframework.boot:spring-boot-starter-oauth2-client')소셜 로그인 등 클라이언트 입장에서 소셜 기능 구현시 필요한 의존성.
spring-boot-starter-oauth2-client와 spring-security-auth2-jose를 기본으로 관리해줌.
java/org/example/awsspring/config/auth/SecurityConfig.java
@RequiredArgsConstructor
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
private final CustomUserTypesOAuth2UserService customOAuth2UserService;
@Override
protected void configure(HttpSecurity http) throws Exception{
http.csrf().disable().headers().frameOptions().disable()
.and()
.authorizeRequests()
.antMatchers("/","/css/**","/images/**","/js/**","/h2-console/**").permitAll().antMatchers("/api/v1/**").hasRole(
Role.USER.name())
.anyRequest().authenticated()
.and()
.logout()
.logoutSuccessUrl("/")
.and()
.oauth2Login()
.userInfoEndpoint()
.userService(customOAuth2UserService);
}
}@EnableWebSecurity
- spring security 설정들을 활성화시켜 줌.
csrf().disable().headers().frameOptions().disable()
- h2-console화면을 사용하기 위해 해당 옵션들을 disable 해야함.
authorizeRequests
- url별 권한 관리를 설정하는 옵션의 시작점입니다.
- authorizeRequests가 선언되어야만 antMatchers 옵션을 사용할 수있음.
anyRequest
- 설정된값들 이외 나머지 url을 나타냄.
- 여기서는 authenticated()을 추가하여 나머지 url들은 모두 인증된 사용자들에게만 허용하게 함.
- 인증된 사용자, 즉 로그인한 사용자들을 이야기함.
logout().logoutSuccessUrl("/")
- 로그아웃 기능에 대한 여러 설정의 진입점
- 로그아웃 성공시 / 주소로 이동함.
oauth2Login
- OAuth 2 로그인 기능에 대한 여러 설정의 진입점.
userInfoEndpoint
- Oauth2 로그인 성공 이후 사용자 정보를 가져올 때의 설정들을 담당
userService
- 소셜 로그인 성공시 후속 조치를 진행할 UserService 인터페이스의 구현체를 등록한다.
- 리소스 서버(즉, 소셜 서비스들)에서 사용자 정보를 가져온 상태에서 추가로 진행하고자 하는기능을 명시할 수 있다.
설정 코드작성이 끝나면 CustomOAuth2UserService 클래스를 생성한다.
이 클래스에서는 구글 로그인 이후 가져온 사용자의 정보(email,name, picture)들을 기반으로 가입 및 정보수정, 세션 저장등의 기능을 지원한다.
@RequiredArgsConstructor
@Service
public class CustomOAuth2UserService implements OAuth2UserService<OAuth2UserRequest, OAuth2User> {
private final UserRepository userRepository;
private final HttpSession httpSession;
@Override
public OAuth2User loadUser(OAuth2UserRequest userRequest) throws OAuth2AuthenticationException {
OAuth2UserService<OAuth2UserRequest, OAuth2User> delegate = new DefaultOAuth2UserService();
OAuth2User oAuth2User = delegate.loadUser(userRequest);
String registrationId = userRequest.getClientRegistration().getRegistrationId();
String userNameAttributeName = userRequest.getClientRegistration()
.getProviderDetails()
.getUserInfoEndpoint()
.getUserNameAttributeName();
OAuthAttributes attributes = OAuthAttributes.of(registrationId, userNameAttributeName,oAuth2User.getAttributes());
User user = saveOrUpdate(attributes);
httpSession.setAttribute("user", new SessionUser(user));
return new DefaultOAuth2User(Collections.singleton(new SimpleGrantedAuthority(user.getRoleKey())), attributes.getAttributes(),attributes.getNameAttributeKey());
}
private User saveOrUpdate(OAuthAttributes attributes){
User user = userRepository.findByEmail(attributes.getEmail()).map(entity -> entity.update(attributes.getName,attributes.getPicture())).orElse(attributes.toEntity);
return userRepository.save(user);
}
}
registrationId
현재 로그인 진행 중인 서비스를 구분하는 코드
지금은 구글만 사용하는 불필요값이지만 네이벌 로그인 연동시에 네이버 로그인인지 구글 로그인인지구분하기 위해사용
userNameAttributeName
OAuth2 로그인 진행 시 키가 되는 필드값을 이야기함. primar key 와 같은 의미.
구글의 경우 기본적으로 코드를지원, 네이버 카카오는 지원 X
구글의 기본 코드는 "sub"
이후 네이버 로그인 과 구글 로그인을 동시 지원할 때 사용.
OAuthAttributes
OAuth2UserService 를 통해 가져온 OAuth2User 의 attribute를 담을 클래스.
이후 네이버 등 다른 소셜로그인도 이클래스를 사용.
바로 아래에서 이 클래스의 코드가 나오니 차럐로 생성하면 됨.
SessionUser
세션에 사용자 정보를 저장하기 위한 Dto 클래스
왜 User 클래스를 쓰지 않고 새로 만들어서 쓰는지 뒤에서 상세하게 설명하겠음.
구글 사용자 정보가 업데이트 되었을 때를 대비하여 update기능도 같이 구현되었다.
사용자의 이름이나 프로필 사진이 변경되면 User 엔티티에도 반영됨.
CustomOAuth2UserService 클래스까지 생성되었다면 OAuthAttributes 클래스를 생성.
이 책의 필자의 경우 OAuthAttributes는 Dto로 보기 때문에 config.auth.dto패키지를 만들어 해당 패키지에 생성했다.
@Getter
public class OAuthAttributes {
private Map<String,Object> attributes;
private String nameAttributeKey;
private String name;
private String email;
private String picture;
@Builder
public OAuthAttributes(Map<String, Object> attributes, String nameAttributeKey, String name, String email,
String picture) {
this.attributes = attributes;
this.nameAttributeKey = nameAttributeKey;
this.name = name;
this.email = email;
this.picture = picture;
}
public static OAuthAttributes of(String registrationId,String userNameAttributeName,Map<String, Object> attributes){
return ofGoogle(userNameAttributeName, attributes);
}
private static OAuthAttributes ofGoogle(String userNameAttributeName, Map<String,Object> attributes){
return OAuthAttributes.builder()
.name((String)attributes.get("name"))
.email((String)attributes.get("email"))
.picture((String)attributes.get("picture"))
.nameAttributeKey(userNameAttributeName)
.build();
}
public User toEntity(){
return User.builder()
.name(name)
.email(email)
.picture(picture)
.role(Role.GUEST)
.build();
}
}of()
OAuth2User에서 반환하는 사용자 정보는 Map이기 때문에 값 하나하나를 변환해야만 한다.
toEntity()
User Entity를 생성.
OAuthAttributes에서 엔티티를 생성하는 시점은 처음가입할때
가입할 때의 기본권한을 GUEST로 주기 위해서 role 빌더값에 role.guest를 사용.
OAuthAttributes 클래스 생성이 끝낫으면 같은 패키지에 SessionUser클래스 생성.
@Getter
public class SessionUser implements Serializable {
private String name;
private String email;
private String picture;
public SessionUser(User user){
this.name = user.getName();
this.email = user.getEmail();
this.picture = user.getPicture();
}
}Session User에는 인증된 사용자 정보만 필요하다.
그외에 필요한 정보들은 없으니 name, email, picture만 필드로 선언한다.
왜 User클래스를 사용하면 안되지???
User 클래스를 바로 사용하려고 해쓰면 에러가 발생. -> 세션에 저장하기 위해 User클래스를 세셔넹 저장하려고 하니, User 클래스에 직렬화를 구현하지 않았다 라는 에러 발생.
그렇다면 오류 해결위해 User 클래스에 직렬화 코드를 넣으면 되나??
-> 생각해볼것이 많음.
왜 와이??
User 클래스가 Entity이기 때문이다.
예를들어 Entity 클래스는 언제 다른 엔티티와 관계가 형성 될지 모름.
예를들어 @OneToMany, @ManyToMany 등 자식 엔티티를 갖고 있다면 직렬화 대상에 자식들까지 포함되니 성능이슈, 부수효과가 발생할 확룔이 높다. 그래서 직렬화기능을 가진 세션 Dto를 하나 추가로 만드는 것이 이후 운영 및 유지보수 때 많은 도움이 된다.
로그인 테스트
@Controller
public class IndexController {
private final PostsService postsService;
private final HttpSession httpSesson;
@GetMapping("/")
public String index(Model model){
model.addAttribute("posts",postsService.findAllDesc());
SessionUser user = (SessionUser) httpSesson.getAttribute("user");
if(user!=null){
model.addAttribute("userName",user.getName());
}
return "index";
}index.mustache에서 userName을 사용할 수 있게 IndexController에서 userName을 model에 저장하는 코드를 추가.
(SessionUser) httpSession.getAttribute("user")
앞서 작성된 CustomOAuth2UserService에서 로그인 성공시 세션에 SessionUser를 저장하도록 구성.
즉, 로그인 성공 시 httpSession.getAttribute("user")에서 값을 가져올 수 있음.
if(user!=null)
세션에 저장된 값이 있을 때만 model에 userName으로 등록함.
세션에 저장된값이 없으면 model엔 아무런 값이 없는 상태이니 로그인 버튼이 보이게 됨.
<!-- 로그인 기능 영역-->
<div class="row">
<div class="col-md-6">
<a href="/posts/save" role="button" class="btn btn-primary">글 등록</a>
{{#userName}}
Logged in as: <span id="user">{{userName}}</span>
<a href="/logout" class="btn btn-info active" role="button">Logout</a>
{{/userName}}
{{^userName}}
<a href="/oauth2/authorization/google" class="btn btn-success active" role="button">Google Login</a>
<a href="/oauth2/authorization/naver" class="btn btn-secondary active" role="button">Naver Login</a>
{{/userName}}
</div>
</div>-> 프론트엔드 코드 189 p 참고
기본적인 구글 로그인, 로그아웃, 회원가입, 권한 관리 기능이 모두 구현. 이제 기능 개선을 해보자.
5.4 어노테이션 기반으로 개선하기
일반적인 프로그래밍에서 개선이 필요한 나쁜 코드 -> 같은 코드가 반복되는 부분.
앞서 만든 코드에서 개선할만한 것 -> IndexController에서 세션값을 가져오는 부분.
SessionUser user = (SessionUser)httpSesson.getAttribute("user");index 메서드 외에 다른 컨트롤러와 메서드에서 세션값이 필요하면 그때마다 직접 세션에서 값을 가져와야 한다.
같은 코드가 계속해서 반복 되는 것은 불필요하기 때문에 이부분을 메서드 인자로 세션값을 바로 받을 수 있도록 변경해보자.
java/org/example/awsspring/config/auth/LoginUser.java
@Target(ElementType.PARAMETER)
@Retention(RetentionPolicy.RUNTIME)
public @interface LoginUser {
}@Target(ElementType.PARAMETER)
이 어노테이션이 생성될 수 있는 위치를 지정.
PARAMETER로 지정했으니 메서드의 파라미터로 선언된 객체에서만 사용할 수 있다.
이 외에도 클래스 선언문에 쓸 수 있는 TYPE등이 있다.
@interface
이 파일을 어노테이션 클래스로 지정한다.
LoginUser라는 이름을 가진 어노테이션이 생성되었다고 보면 됨.
java/org/example/awsspring/config/auth/LoginUserArgumentResolver.java
@RequiredArgsConstructor
@Component
public class LoginUserArgumentResolver implements HandlerMethodArgumentResolver {
private final HttpSession httpSession;
@Override
public boolean supportsParameter(MethodParameter parameter) {
boolean isLoginUserAnnotation = parameter.getParameterAnnotation(LoginUser.class) != null;
boolean isUserClass = SessionUser.class.equals(parameter.getParameterType());
return isLoginUserAnnotation && isUserClass;
}
@Override
public Object resolveArgument(MethodParameter parameter, ModelAndViewContainer mavContainer,
NativeWebRequest webRequest, WebDataBinderFactory binderFactory) throws Exception {
return httpSession.getAttribute("user");
}
}supportParameter()
컨트롤러 메서드의 특정 파라미터를 지원하는지 판단.
여기서는 파라미터에 @LoginUser 어노테이션이 붙어있고, 파라미터 클래스 타입이 SessionUser.class인경우 true를 반환.
resolveArgument()
파라미터에 전달할 객체를 생성.
여기서는 세션에서 객체를 가져온다.
@LoginUser를 사용하기 위한 환경은 구성되었다.
이제 이렇게 생성된 LoginUSerArgumentResolver가 스프링에서 인식될 수 있도록 WebMvcConfigurer에 추가.
java/org/example/awsspring/config/WebConfig.java
@RequiredArgsConstructor
@Configuration
public class WebConfig implements WebMvcConfigurer {
private final LoginUserArgumentResolver;
@Override
public void addArgumentResolvers(List<HandlerMethodArgumentResolver> argumentResolvers){
argumentResolvers.add(loginUserArgumentResolver);
}
}HandlerMEthodArgumentResolver는 항상 WebMvcConfigurer의 addArgumentResolvers()를 통해 추가해야함.
다른 Handler-MethodArgumentResolver가 필요하다면 같은 방식으로 추가해 주면 됨.
@RequiredArgsConstructor
@Controller
public class IndexController {
private final PostsService postsService;
private final HttpSession httpSesson;
@GetMapping("/")
public String index(Model model, @LoginUser SessionUser user){
model.addAttribute("posts",postsService.findAllDesc());
if(user!=null){
model.addAttribute("userName",user.getName());
}
return "index";
}
이제 IndexController에서 코드 개선.
@LoginUser SessionUser user
기존에 (User)httpSession.getAttribute("user")로 가져오던 세션정보값이 개선되었다.
이제 어느 컨트롤러든지 @LoginUser 만 사용하면 세션정보를 가져올 수 있게 되었다.
5.5 세션 저장소로 DB사용하기
추가로 개선을 해보자.
지금 만든 서비스는 애플리케이션을 재실해앟면 로그인이 풀림.
-> 왜 why?? 세션이 내장 톰캣의 메모리에 저장되기 때문.
기본적으로 세션은 실행되는 WAS(Web Application Server)의 메모리에서 저장되고 호출된다. 메모리에 저장되다 보니 내장 톰캣처럼 애플리케이션 실행 시 실행되는 구조에서는 항상 초기화가됨.
즉 배포할 때마다 톰캣이 재시작됨.
또 다른 문제점
2대 이상의 서버에서 서비스하고 있다면 톰캣마다 세션 동기화 설정을 해야만 한다. 그래서 실제현업에서는 세션 저장소에 대해 다음의 3가지 중 1가지를 선택한다.
- 톰캣 세션을 사용한다.
- 일반 적으로 별다른 설정 하지 않으면 기본으로 선택되는 방식
- 이렇게 될 경우 톰캣(WAS)에 세션이 저장되기 때문에 2대이상의 WAS가 구동되는 환경에서는 톰캣들 간의 세션공유를 위한 추가설정이 필요하다.
- MySql과 같은 DB를 세션 저장소로 사용한다.
- 여러 WAS 간의 공용세션을 사용할 수 있는 가장 쉬운 방법
- 많은 설정이 필요없지만 결국 로그인 요청마다 DB IO가 발생하여 성능상 이슈가 발생할 수 있다.
- 보통 로그인 요청이 많이 없는 백오피스, 사내시스템용도에서 사용한다.
- Redis, Memcached와 같은 메모리 DB를 세션저장소로 사용한다.
- B2C 서비스에서 가장 많이 사용하는 방식
- 실제 서비스를 사용하기 위해서는 Embedded Redis와 같은 방식이 아닌 외부메모리 서버가 필요하다.
여기서는 2번째 방식인 DB를 세션저장소로 사용하는 방식을 선택
왜why??
설정이 간단하고 사용자가 많은 서비스가 아니면 비용절감을 위해서.
이후 AWS에서 이 서비스를 배포하고 운영할 때를 생각하면 레디스와 같은 서비스(엘라스틱 캐시)에 별도로 비용을 지불해야하기 때문.
사용자가 없는 현단계에서는 DB로 모든기능을 처리하는 게 부담이 적다.
만약 운영중인 서비스가 커진다면 한번 고려해보고,이 과정에서는 DB를 사용.
먼저 의존성 등록.
implementation('org.springframework.session:spring-session-jdbc')현재상태에서 바로 사용할 순 없고 의존성이 추가해야 사용가능
spring.session.store-type=jdbc
이제 h2-console로 db를 확인해보자.
세션을 위한 테이블 2개(SPRING_SESSION, SPRING_ATTRIBUTES)가 생성된 것을 볼 수 있다. JPA로 인해 세션테이블이 자동 생성되었기에 별도로 해야할일은 없다.
세션저장소를 DB로 교체했다. 물론 지금은 기존과 동일하게 스프링을 재시작하면 세션이 풀림.
왜WHY?? -> H2기반으로 스프링이 재실행 되면 H2도 재실되기 때문이다.
이후 AWS로 배포하게 되면 AWS의 DB 서비스인 RDS(Relational Database Service)를 사용하게 되니 이때부터는 세션이 풀리지 않는다.
5.6 네이버 로그인
네이버 api 등록
https://developers.naver.com/apps/#/register?api=nvlogin
애플리케이션 - NAVER Developers
developers.naver.com
등록 후 네이버는 스프링 시큐리티를 공식지원하지않는다.
따라서 그동안 Common-OAuth2Provider에서 해주던 값들도 전부 수동으로 입력해야한다.
#registration
spring.security.oauth2.client.registration.naver.client-id=네이버 클라이언트 ID
spring.security.oauth2.client.registration.naver.client-secret=클리아언트 비밀
spring.security.oauth2.client.registration.naver.redirect-uri={baseUrl}/{action}/oauth2/code/{registrationId}
spring.security.oauth2.client.registration.naver.authorization-grant-type=authorization_code
spring.security.oauth2.client.registration.naver.scope=name,email,profile_image
spring.security.oauth2.client.registration.naver.client-name=Naver
# provider
spring.security.oauth2.client.provider.naver.authorization-uri=https://nid.naver.com/oauth2.0/authorize
spring.security.oauth2.client.provider.naver.token-uri=https://nid.naver.com/oauth2.0/token
spring.security.oauth2.client.provider.naver.user-info-uri=https://openapi.naver.com/v1/nid/me
spring.security.oauth2.client.provider.naver.user-name-attribute=responseuser_name_attribbute=response
기준이 되는 user_name의 이름을 네이버에서는 response로 해야한다.
이유는 네이버의 회원조회시 반환되는 JSON의 형태 때문.
스프링 시큐리티에서는 하위필드를 명시할 수 없다. 최상위 필드들만 user_name으로 지정 가능. 하지만 네이버의 응답값 최상위 필드는 resultCode, message, response
이러한 이유로 스프링 시큐리티에서 인식 가능한 필드는 저 3개 중에 골라야함.
본문에서 담고 있는 response를 user_name으로 지정하고 이후 자바 코드로 repsonse의 id를 user_name으로 지정.
스프링 시큐리티 설정 등록
구글 로그인을 등록하면서 대부분 코드가 확장성 있게 작성되었다. -> 네이버는 쉽게등록 가능.
OAuthAttributes에 다음과 같이 네이버인지 판단하는 코드와 네이버 생성자만 추가해 주면 됨.
@Getter
public class OAuthAttributes {
private Map<String,Object> attributes;
private String nameAttributeKey;
private String name;
private String email;
private String picture;
@Builder
public OAuthAttributes(Map<String, Object> attributes, String nameAttributeKey, String name, String email,
String picture) {
this.attributes = attributes;
this.nameAttributeKey = nameAttributeKey;
this.name = name;
this.email = email;
this.picture = picture;
}
public static OAuthAttributes of(String registrationId,String userNameAttributeName,Map<String, Object> attributes){
if("naver".equals(registrationId)){
return ofNaver("id",attributes);
}
return ofGoogle(userNameAttributeName, attributes);
}
...
private static OAuthAttributes ofNaver(String userNameAttributeName, Map<String, Object> attributes){
Map<String, Object> response = (Map<String, Object>)attributes.get("response");
return OAuthAttributes.builder()
.name((String)attributes.get("name"))
.email((String)attributes.get("email"))
.picture((String)attributes.get("profile_image"))
.attributes(attributes)
.nameAttributeKey(userNameAttributeName)
.build();
}프론트엔드 코드 설명 -> 209p참고
5.7 기존 테스트에 시큐리티 적용하기
기존 테스트에 시큐리티 적용으로 문제가 되는부분을 해결해보자.
기존에는 바로 api를 호출할 수 있어 테스트 코드역시 바로 api를 호출하도록 구성했다.
하지만 시큐리티 옵션이 활성화되면 인증된 사용자만 api를 호출할 수 있다.
기존의 api 테스트 코드들이 모두 인증에 대한 권한을 받지 못하였으므로, 테스트 코드마다 인증한 사용자가 호출한것처럼 작동하도록 수정.
문제 1. CustomOAuth2UserService를 찾을 수 없음.
첫 실패태스트를 보면 No qualifying bean of type 'org.example.awsspring.config.auth.CustomOAuth2UserService' available: expected at least 1 bean which qualifies as autowire candidate.
가 뜸.
이는 CustomOAuth2UserService를 생성하는데 필요한 소셜 로그인 관련 설정값들이 없기 때문에 발생.
그러나 이상하다... 분명 application-oauth.properties에 설정값들을 추가했는데 왜 설정이 없다 하지.
이는 src/main환경과 src/test의 환경의 차이 때문.
둘은 본인만의 환경구성을 가짐.
다만 테스트 코드를 수행할때도 src/main의 application.properties가 적용되는 이유는 test에 application.properties가 없으면 main의 설정을 그대로 가져오기 때문.
다만 자동으로 가져오는 옵션의 범위는 application.properties 파일까지이다. 즉 application-oauth.properties는 test파일이 없다고 가져오는 파일이 아니라는 점.
이문제를 해결하기 위해 테스트 환경을 위한 application.properties를 만든다.
실제로 구글 연동까지 진행할 것은 아니므로 가짜설정값을 등록.
resources/application.properties
spring.jpa.show-sql=true
spring.jpa.properties.hibernate.dialect=org.hibernate.dialect.MySQL57Dialect
spring.jpa.properties.hibernate.dialect.storage_engine=innodb
spring.datasource.hikari.jdbc-url=jdbc:h2:mem:testdb;MODE=MYSQL
spring.h2.console.enabled=true
spring.profiles.include=oauth
spring.session.store-type=jdbc
spring.security.oauth2.client.registration.google.client-id=test
spring.security.oauth2.client.registration.google.client-secret=test
spring.security.oauth2.client.registration.google.scope=profile,email
문제2. 302 Status Code
Posts_등록된다 테스트 로그 확인
expected: 200 OK
but was : 302 FOUND
응답의 결과로 200(정상 응답) StatusCode 를 원햇는데 결과는 302(리다이렉션 응답) Status Code가 와서 실패했다.
이는 스프링 시큐리티 설정 때문에 인증되지 않은 사용자의 요청은 이동시키기 때문이다.
따라서 이러한 api요청은 임의로 인증된 사용자를 추가하여 api만 테스트해볼수 있게 해보자.
어려운방법이 아니며, 이미 스프링 시큐리티에서 공식적인 방법을 지원하고 있으므로바로 사용해보자.
스프링 시큐리티 테스트를 위한 여러도구를 지원하는 spring-security-test를 build.gradle에추가
@Test
@WithMockUser(roles="USER")
public void Posts_수정된다() throws Exception{PostsApiControllerTest에 임의 사용자 인증을 추가
@WithMockUser(roles="USER")
인증된 모의 사용자를 만들어서 사용
roles에 권한을 추가할 수 있다.
즉, 이 어노테이션으로 인해 ROLE_USER권한을 가진 사용자가 api를 요청하는 것과 동일한 효과를 가지게 된다.
이정도만 하면 테스트가 될것같지만 실제로 작동하진 않음.
@WithMockUser가 MockMvc에서만 작동하기 때문이다.
현재 PostsApiControllerTest는 @SpringbootTest로만 되어있고 MockMvc를 전혀사용하지 않고있다
그래서 @SpringBootTest에서 MockMvc를 사용해보자.
@SpringBootTest(webEnvironment = SpringBootTest.WebEnvironment.RANDOM_PORT)
public class PostsApiControllerTest {
...
@Autowired
private WebApplicationContext context;
private MockMvc mvc;
@BeforeEach
public void setup() {
mvc = MockMvcBuilders
.webAppContextSetup(context)
.apply(springSecurity())
.build();
}
...
@Test
@WithMockUser(roles = "USER")
void Posts_등록된다() throws Exception {
...
//when
mvc.perform(post(url)
.contentType(MediaType.APPLICATION_JSON_UTF8)
.content(new ObjectMapper().writeValueAsString(requestDto)))
.andExpect(status().isOk());
//then
List<Posts> all = postsRepository.findAll();
assertThat(all.get(0).getTitle()).isEqualTo(title);
assertThat(all.get(0).getContent()).isEqualTo(content);
assertThat(all.get(0).getAuthor()).isEqualTo(author);
}
@Test
@WithMockUser(roles = "USER")
public void Posts_수정() throws Exception {
...
//when
mvc.perform(put(url)
.contentType(MediaType.APPLICATION_JSON_UTF8)
.content(new ObjectMapper().writeValueAsString(requestDto)))
.andExpect(status().isOk());
//then
List<Posts> all = postsRepository.findAll();
assertThat(all.get(0).getTitle()).isEqualTo(expectedTitle);
assertThat(all.get(0).getContent()).isEqualTo(expectedContent);
}
}mvc.perform
생성된 MockMvc를 통해 api를 테스트한다.
본문(Body)영역은 문자열로 표현하기 위해 ObjectMapper를 통해 문자열 JSON으로 변환한다.
문제3. @WebMvcTest에서 CustomOAuth2UserServie를 찾을 수 없음.
이것은 왜 발생했을까
HelloControllerTest는 1번과 다른점이 있다.
바로@WebMvcTest를 사용
1번을 통해 스프링 시큐리티 설정은 잘 작동했지만 @WebMvcTest는 CustomOAuth2UserService를 스캔하지 않았기 때문.
@WebMvcTest는 WebSecurityConfigurerAdapter, WebMvcConfigurer를 비롯한 @ControllerAdvice, @Controller를 읽는다.
즉 @Repository, @Service, @Component는 스캔대상이 아니다.
따라서 SecurityConfig를 읽었지만 SecurityConfig를 생성하기 위해 필요한 CustomOAuth2UserSerice는 읽을 수가 없어 에러 발생.
-> 해결 위해서 스캔대상에서 SecurityConfig를 제거.
@WebMvcTest(controllers = HelloController.class,
excludeFilters = {
@ComponentScan.Filter(type = FilterType.ASSIGNABLE_TYPE, classes = SecurityConfig.class)
}
)밑에 메서드에도 MOCKUSER 어노테이션 추가
Error creating bean with name 'jpaAuditingHandler': Cannot resolve reference to bean 'jpaMappingContext' while setting constructor argument
하지만 또 에러 발생
@EnableJpaAuditing로 인해 발생.
이것을 사용하기 위해서는 최소 하나의 @Entity가 필요함
@WebMvcTest이다 보니 당연히 없음.
@EnableJpaAuditing가 @SpringBootApplication 와 함께 있다보니 @WebMvcTest에서도 스캔하게 되었다.
그래서 @EnableJpaAuditing과 @SpringBootApplication 둘을 분리하겠다.
Application.java에서 @EnableJpaAuditing 제거
java/org/example/awsspring/config/JpaConfig.java
@Configuration
@EnableJpaAuditing
public class JpaConfig {
}
정리
우리는 앞서 intellij로 스프링 부트 통합 개발환경을 만들고 테스트와 JPA로 데이터를 처리하고 머스테치로 화면을 구성했으며 시큐리티와 Oauth로 인증과 권한을 배워보며 간단한 게시판을 완성했다.
이제는 AWS를 이용해 나만의 서비스를 직접 배포하고 운영하는 과정을 진행.
'Spring > 스프링부트와 AWS로 혼자구현하는 웹 서비스' 카테고리의 다른 글
| 섹션7. AWS RDS (1) | 2023.02.05 |
|---|---|
| 섹션 6. AWS 서버 환경을 만들어보자 - AWS EC2 (0) | 2023.01.30 |
| 4장. 머스테치로 화면 구성하기 (0) | 2023.01.25 |
| 3장. 스프링 부트에서 JPA로 DB를 다뤄보자 (0) | 2023.01.24 |
| 2장. 테스트 코드를 작성해보자 (0) | 2023.01.24 |
