#21 스프링 시큐리티
시큐리티 시작 전 주소 변경
주소 변경 이유 : 권한 때문이다. 이후에 서술!
UserController.java의 @GetMapping에서 앞에 붙은 /user 를 삭제한다.
header.jsp에 가서 href를 이렇게 변경한다.
application.yml로 가서 context-path에서 /blog -> / 로 변경
user.js로 가서 회원가입 ajax에서 url과 href에 blog를 빼서 다음과 같이 만든다.
로그인 ajax에서도 마찬가지이다.
그리고 joinForm.jsp과 loginForm.jsp에 가서 다음과 같이 blog를 빼고 /js/user.js로 수정한다.
스프링 시큐리티 TEST
일단 테스트에 앞서 pom.xml에 들어간다.
주석처리되어있는 다음 라이브러리들의 주석을 해제한다.
그리고 UserApiController.java로 가보자
시큐리티 로그인을 사용할 예정이므로 드래그한 이 부분은 사용하지 않는다.
따라서 다음과 같이 주석처리해준다. (ctrl+shift+/ 하면 블록주석처리)
위에 있는 private HttpSession session을 삭제하기 위해 일단 login부분에 옮기고 주석처리한 것이다.
드래그한 이 세션도 삭제한다.
지금 이 상태에서 한번 실행해보자
실행결과 :
??!
내가 만든 적이 없는 페이지가 뜬다.
메인페이지로 갈려고 하는데 주소가 이 곳으로 고정된다.
스프링의 시큐리티 라이브러리가 설치가되면 우리 홈페이지 어느 곳에 접근하든지
스프링 시큐리티가 가로채서 이 화면으로 가게되는 것이다.
이렇게 잠긴 이유는
얘 떄문이다.
그런데 이제 이걸 어떻게 들어가냐면.. 일단 Username은 user고
비밀번호는 콘솔창에 다음과 같이 뜨는데, 이 비밀번호를 기입하면 된다.
그러면 이렇게 들어와진다.
이렇게 들어오면 이때부턴 자동으로 세션이 생기게 된다.
이제 spring-security-taglibs를 사용해보자
https://www.baeldung.com/spring-security-taglibs
이미 pom.xml에서 spring-security-taglibs는 작성해놨으니
아래 태그를 복사해서 사용하면 된다.
사용 전에 시큐리티의 각 표현들과 설명을 살펴보자
구체적인 것은 해당 사이트에서 찾아볼 수 있다.
https://docs.spring.io/spring-security/site/docs/3.0.x/reference/el-access.html
isAuthenticated()는 인증(로그인)이 됐는지 안됐는지 확인을 하는 것이고
로그인이 됐다면 그 로그인 정보를 principal을 통해 가져올 수 있다고 설명되어 있다.
(principal은 현재 사용자를 나타내는 주요 오브젝트에 대한 direct access 허용)
그럼 바로 테스트해보자!
우선 isAuthenticated()가 제대로 작동하는지 확인하기위해 alert를 작성해보자
실행결과 :
isAuthenticated()가 잘 작동하는 것을 확인할 수 있다.
다시 돌아와서, 그렇다면 로그인이 됐다면 권한을 얻게 코드를 작성해보자
var principal로 principal 변수에 다 저장된다.
해당 페이지에 등록할 수 있는 principal 변수가 등록되는 것이다.
이제 이 변수를 이용할 수 있으니, header.jsp의 아래쪽에서 사용해보자
이렇게 작성하면 principal이 empty일 경우를 설정할 수 있다.
실행결과 :
제대로 권한에 따라 메뉴가 다르게 보이는 모습이다.
이제 기능이 제대로 작동하는 것을 확인했으니
시큐리티에서 뜨는 얘를 커스터마이징해서 나에게 맞게 수정하면 된다.
시큐리티 로그인 전 주소 정리
일단 시큐리티 로그인에 앞서 주소를 정리할 필요가 있다.
깔끔하게 주소들을 정리해보자
우선 UserController.java
인증이 필요없는 곳에 auth를 붙여주자
UserApiController.java
UserService.java
얘도 이제 로그인할 때 안 쓰이니까 삭제한다.
UserRepository.java
당연히 얘도 삭제한다.
loginForm.jsp
버튼을 폼 안쪽으로 이동시킨다.
왜냐하면 자바스크립트를 사용하지 않고 이 폼으로 바로 로그인을 할 것이기 때문이다.
폼에 action을 넣어줘야 한다.
로그인폼을 이렇게 작성해준다.
우선 임시로 #을 넣어뒀고, 각각 name을 작성하였다.
header.jsp
로그인과 회원가입의 href에 auth를 넣어준다.
그리고 이제 user.js가서 코드를 작성해보자
user.js
얘는 이제 사용하지 않을 것이니 삭제한다.
아까 loginForm.jsp에서 btn-login버튼을 form안에 집어넣고 user.js 불러오는 코드를 삭제한게 기억날 것이다.
마찬가지로 얘도 안쓸테니 삭제한다.
ajax에서 url을 다음과 같이 수정한다.
UserApiController.java에서 @PostMapping("/auth/joinProc")으로 바꾼 것이 기억날 것이다.
시큐리티 로그인 페이지 커스터마이징
우선 config 패지키와 SecurityConfig 클래스를 생성한다.
SecurityConfig를 다음과 같이 작성한다.
SecurityConfig.java를 이렇게 작성해주면 된다.
+ 추가
실행했을 때 접근제한이 걸렸을 경우 로그인창을 띄우는 코드도 작성해야 한다.
이제 실행을 해볼텐데, 실행하기 전에 application.yml에서 ddl-auto: update인지 확인하고
이제 실행해보자
실행결과 :
성공적으로 /auth/loginForm으로 내가 만들었었던 로그인창이 뜨는 것을 확인할 수 있다.
다음 시간엔
비밀번호 해쉬 후 회원가입, 스프링 시큐리티 로그인을 작성하겠다.
참고자료 : https://youtu.be/W32lElW3NlU