스프링 시큐리티로 사용자 권한 설정하기

부제 : 회원 관리 그 드높은 장벽! 로그인 만만하게 볼게 아니다…^^

Spring Security Framework

일반 사용자, 관리자, 개발자 이렇게 3개 그룹의 계정 관리를 해야한다고 가정하자. 각 사용자는 자신의 권한 범위 이내에서 접근이 허용되어야 한다. 보통 일반 사용자 < 관리자 < 개발자 순으로 넓은 권한을 갖고 있기때문에 일반 사용자가 접근하면 안 되는 페이지는 계정 검사를 하고 돌려보내야 한다.

이것을 아주아주아주 쉽고 논리적으로 해결한 것이 Spring Security 프레임워크다!

Spring Security Configure

컨트롤러에서 다음과 같이 /user, /manager, /admin 3가지 url로 요청을 보낼 경우 각각 일반 사용자까지, 관리자까지, 개발자까지 접근 가능하도록 구현하고 싶다.

Java

/**
 * 컨트롤러
 */

@Controller
public class IndexController {
    @GetMapping({"", "/"})
	public String index() {
		// mustache 기본 폴더 : src/main/resources/
		// viewResolver 설정 : templates (prefix), .mustache (suffix)   // 생략 가능
		return "index";    // src/main/resources/templates/index.mustache 로 잡음
	}
	
	@GetMapping("/user")
	public @ResponseBody String user() {
		return "user";
	}
	
	@GetMapping("/admin")
	public @ResponseBody String admin() {
		return "admin";
	}
	
	@GetMapping("/manager")
	public @ResponseBody String manager() {
		return "manager";
	}
}

개체 생성하기

회원 관리 기능을 구현하기 위해서는 ‘사용자’이라는 개념을 ‘User’라는 객체 타입으로 생성해야 한다. model 패키지를 생성한 뒤 엔티티 클래스를 만들어주자.

재밌는 것은 엔티티 클래스를 생성하면 application.yml(application.properties) hibernate 설정에 의해 DB에 테이블이 자동 생성된다!!!!!!! 와 진짜 혁명…

yml

jpa:
    hibernate:
        ddl-auto: update #create update none
        naming:
            physical-strategy: org.hibernate.boot.model.naming.PhysicalNamingStrategyStandardImpl
    show-sql: true

Java

/**
 * 엔티티 개체
 */

@Entity
@Data
public class User {
	@Id
	@GeneratedValue(strategy = GenerationType.IDENTITY)
	private int id;
	private String username;
	private String password;
	private String email;
	private String role;   // ROLE_USER, ROLE_ADMIN
	// 휴면 계정 설정을 위한 로그인 날짜 필드
	// private Timestamp loginDate;
	@CreationTimestamp
	private Timestamp createDate;
}

configure() 메서드 정의하기

이제 본격적으로 스프링 시큐리티 설정을 해보자. config 패키지 내부에 SecurityConfig 클래스를 생성한다.

이후 클래스 레벨에 @Configuration, @EnableWebSecurity 어노테이션을 설정해 스프링 시큐리티를 위한 의존성을 추가한다.

다음으로 configure() 메서드를 재정의한다.

Java

/**
 * 시큐리티 설정
 */

@Configuration
@EnableWebSecurity    // 스프링 시큐리티 필터가 스프링 필터 체인에 등록됨
public class SecurityConfig extends WebSecurityConfigurerAdapter{
	
	@Override
	protected void configure(HttpSecurity http) throws Exception {
		http.csrf().disable();
		http.authorizeRequests()
			.antMatchers("/user/**").authenticated()    // 인증이 된 모든 계정이 들어갈 수 있는 주소
			.antMatchers("/manager/**").access("hasRole('ROLE_ADMIN') or hasRole('ROLE_MANAGER')")
			.antMatchers("/admin/**").access("hasRole('ROLE_ADMIN')")
			.anyRequest().permitAll();
	}
}

위의 설정은 다음을 의미한다.

antMatchers("/user/**").authenticated() : 인증이 된 모든 사용자는 /user 요청으로 접근할 수 있다.

.antMatchers("/manager/**").access("hasRole('ROLE_ADMIN') or hasRole('ROLE_MANAGER')") : DB 내에 역할이 ‘ROLEADMIN’ 또는 ‘ROLEMANAGER’로 저장된 경우만 /manager 요청으로 접근할 수 있다.

.antMatchers("/admin/**").access("hasRole('ROLE_ADMIN')") : DB 내에 역할이 ‘ROLE_ADMIN’으로 저장된 경우만 /admin 요청으로 접근할 수 있다. -.anyRequest().permitAll(); : 이외의 다른 경로로 들어온 요청은 권한 인증 없이 사용 가능하다.

스프링 프로젝트를 실행하면 각 권한에 맞는 페이지 요청만 허용하는 것을 확인할 수 있다! 만약 권한 범위 밖의 페이지를 요청할 경우 403 에러를 반환하며 안돼, 돌아가 라고 한다.

Reference

인프런 최주호님 스프링부트 시큐리티 & JWT 강의 - 섹션 0. 스프링 시큐리티 기본

스프링 시큐리티로 사용자 권한 설정하기
- Spring Security Framework
- Spring Security Configure