[Spring] Spring Security 로그인/로그아웃/패스워드 암호화 기능 구현

💻 실습 환경

Language: Java8
Spring Boot
IDE: IntelliJ

 

💬 요구 사항

Spring Security를 이용해 로그인, 로그아웃, 패스워드 암호화 기능을 구현한다

 

📌 스프링 시큐리티 프레임워크 추가

build.gradle파일에 아래 하단에 코드 추가

  // 스프링 시큐리티
  implementation 'org.springframework.boot:spring-boot-starter-security'
  // Thymeleaf (뷰 템플릿 엔진)
  implementation 'org.springframework.boot:spring-boot-starter-thymeleaf'

 

📌 스프링 시큐리티 활성화

WebSecurityConfig.java 파일 생성

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@Configuration
@EnableWebSecurity // 스프링 Security 지원을 가능하게 함
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable();
        http.headers().frameOptions().disable();

        http.authorizeRequests()
                .anyRequest().authenticated()
                .and()
                .formLogin()
                .defaultSuccessUrl("/")
                .permitAll()
                .and()
                .logout()
                .permitAll();
    }
}

 

📌 Spring Security 기본 동작 사용 방법

• Username : user
• Password : Spring프로젝트의 로그 'Using generated security password : ~~'를 확인
  • 서버 재시작 시 변경

 

📌 Spring Security로 비밀번호 암호화

스프링 시큐리티에서 제공해주고 권고되는 'BCrypt' 해시 함수를 이용해 패스워드를 암호화하여 DB에 저장

1. WebSecurityConfig 파일에 해당 함수 추가

  @Bean
  public BCryptPasswordEncoder encodePassword() {
  return new BCryptPasswordEncoder();
  }

 

2. User Register 회원가입 함수 Password 등록 부분 수정

import org.springframework.security.crypto.password.PasswordEncoder;

private final PasswordEncoder passwordEncoder;

// 패스워드 인코딩
String password = passwordEncoder.encode(requestDto.getPassword());

왼쪽부터 암호화 전/후

 

📌 Spring Security로 로그인 구현

AuthenticationManager를 통해 인증/인가 성공 시에만, Controller에게 회원 정보(UserDetails)를 전달하도록 한다.

스프링 시큐리티를 통한 로그인 처리 과정

여기서 우리가 구현해야 할 클래스는 다음과 같다.

1. UserDetailsService 인터페이스 → UserDetailsServiceImpl 클래스
2. UserDetails 인터페이스 → UserDetailsImpl 클래스

 

1) UserDetailsServiceImpl 생성

import com.sparta.springcore.model.User;
import com.sparta.springcore.repository.UserRepository;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

import java.util.Optional;

@Service
public class UserDetailsServiceImpl implements UserDetailsService{

	@Autowired
	private UserRepository userRepository;

	public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User user = userRepository.findByUsername(username)
                .orElseThrow(() -> new UsernameNotFoundException("Can't find " + username));

        return new UserDetailsImpl(user);
    }
}

 

2) UserDetailsImpl.java 생성

import com.sparta.springcore.model.User;
import org.springframework.security.core.GrantedAuthority;
import org.springframework.security.core.userdetails.UserDetails;

import java.util.Collection;
import java.util.Collections;

public class UserDetailsImpl implements UserDetails {

    private final User user;

    public UserDetailsImpl(User user) {
        this.user = user;
    }

    public User getUser() {
        return user;
    }

    @Override
    public String getPassword() {
        return user.getPassword();
    }

    @Override
    public String getUsername() {
        return user.getUsername();
    }

    @Override
    public boolean isAccountNonExpired() {
        return true;
    }

    @Override
    public boolean isAccountNonLocked() {
        return true;
    }

    @Override
    public boolean isCredentialsNonExpired() {
        return true;
    }

    @Override
    public boolean isEnabled() {
        return true;
    }

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return Collections.emptyList();
    }
}

 

📌 Spring Security로 로그아웃 구현

GET '/user/logout'을 호출하는 것 만으로 스프링 시큐리티가 로그아웃을 처리해준다.

@Configuration
@EnableWebSecurity // 스프링 Security 지원을 가능하게 함
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable();
        http.headers().frameOptions().disable();

        http.authorizeRequests()
                .anyRequest().authenticated()
                .and()
                .formLogin()
                .defaultSuccessUrl("/")
                .permitAll()
                .and()
                .logout()
                .logoutUrl("/user/logout")
                .permitAll();
    }
}