Skip to content

[권용진] Sprint9 #123

New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom
Open
wants to merge 7 commits into
base: 권용진
Choose a base branch
from
Open

[권용진] Sprint9 #123

wants to merge 7 commits into from

Conversation

chaoskyj1120
Copy link
Collaborator

@chaoskyj1120 chaoskyj1120 commented Oct 1, 2025
edited
Loading

기본 요구사항

Spring Security 환경설정

  • 프로젝트에 Spring Security 의존성을 추가하세요.

  • Security 설정 클래스를 생성하세요.

    • 패키지명: com.sprint.mission.discodeit.config
    • 클래스명: SecurityConfig

  • SecurityFilterChain Bean을 선언하세요.

  • 가장 기본적인 SecurityFilterChain을 등록하고, 이때 등록되는 필터 목록을 디버깅해보세요. 필터 목록은 PR에 첨부하세요.

  • image 
@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
    return `http.build();
}
  • 개발 환경에서 Spring Security 모듈의 로깅 레벨을 trace로 설정하세요.

CSRF 보호 설정하기

  • CsrfTokenRepository 구현체를 CookieCsrfTokenRepository로 설정하세요.
    • 디폴트 구현체는 HttpSessionCsrfTokenRepository입니다.
http
    .csrf(csrf -> csrf
      .csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse())
    )
    • 이때 클라이언트에서 쿠키에 저장된 CSRF 토큰에 접근해야 하므로 Http Only는 false로 설정합니다.
  • CsrfTokenRequestHandler 컴포넌트를 대체하세요.
    • 디폴트 구현체는 XorCsrfTokenRequestAttributeHandler입니다.
    • Spring 공식문서에서 권장하는 CSR+SPA(Single Page Application) 환경에 적합한 구현체를 정의하세요.

public class SpaCsrfTokenRequestHandler implements CsrfTokenRequestHandler {
    private final CsrfTokenRequestHandler plain = new CsrfTokenRequestAttributeHandler();
    private final CsrfTokenRequestHandler xor = new XorCsrfTokenRequestAttributeHandler();

    @Override
    public void handle(HttpServletRequest request, HttpServletResponse response, Supplier<CsrfToken> csrfToken) {
        /*
         * Always use XorCsrfTokenRequestAttributeHandler to provide BREACH protection of
         * the CsrfToken when it is rendered in the response body.
         */
        this.xor.handle(request, response, csrfToken);
        /*
         * Render the token value to a cookie by causing the deferred token to be loaded.
         */
        csrfToken.get();
    }

    @Override
    public String resolveCsrfTokenValue(HttpServletRequest request, CsrfToken csrfToken) {
        String headerValue = request.getHeader(csrfToken.getHeaderName());
        /*
         * If the request contains a request header, use CsrfTokenRequestAttributeHandler
         * to resolve the CsrfToken. This applies when a single-page application includes
         * the header value automatically, which was obtained via a cookie containing the
         * raw CsrfToken.
         *
         * In all other cases (e.g. if the request contains a request parameter), use
         * XorCsrfTokenRequestAttributeHandler to resolve the CsrfToken. This applies
         * when a server-side rendered form includes the _csrf request parameter as a
         * hidden input.
         */
        return (StringUtils.hasText(headerValue) ? this.plain : this.xor).resolveCsrfTokenValue(request, csrfToken);
    }
}

http
    .csrf(csrf -> csrf
    ...
    .csrfTokenRequestHandler(new SpaCsrfTokenRequestHandler())
    )

  • CSRF 토큰을 발급하는 API를 구현하세요.

    • API 스펙
      • 엔드포인트: GET /api/auth/csrf-token
      • 요청: 없음
      • 응답: 203 Void
@GetMapping("csrf-token")
public ResponseEntity<Void> getCsrfToken(CsrfToken csrfToken) {
  String tokenValue = csrfToken.getToken();
  log.debug("CSRF 토큰 요청: {}", tokenValue);    
  ...
}
  • CsrfToken 파라미터를 메서드 인자로 선언하면, HandlerMethodArgumentResolver를 통해 자동으로 주입됩니다. (공식문서)
  • GET 요청에는 CSRF 인증이 이루어지지 않기 때문에 토큰이 초기화되지 않습니다. 따라서 명시적으로 메소드에서 토큰을 호출합니다.

회원가입

  • 회원가입 API 스펙은 유지합니다.
    • API 스펙
      • 엔드포인트: POST /api/users
      • 요청: Body UserCreateRequest, MultipartFile
      • 응답: 200 UserDto
  • 회원가입 시 비밀번호는 PasswordEncoder를 통해 해시로 저장하세요.
    • PasswordEncoder의 구현체는 BCryptPasswordEncoder를 활용하세요.

인증 - 로그인

  • formLogin 을 기본값으로 활성화하고, 추가된 필터를 확인해보세요.
http
    .formLogin(Customizer.withDefaults())

  • Spring Security의 formLogin 인증 흐름은 그대로 유지하면서 필요한 부분만 대체합니다.

  • 이번 미션에서는 보라색 음영 처리된 5가지 컴포넌트를 대체합니다.

    • UserDetails
    • UserDetailsService
    • PasswordEncoder: 이전에 정의한 BCryptPasswordEncoder로 대체됩니다.
    • AuthenticationSuccessHandler
    • AuthenticationFailureHandler

  • 각 컴포넌트의 기본 구현체가 무엇인지 디버깅해보세요.

  • image

  • 추가된 필터

  • UsernamePasswordAuthenticationFilter: 폼 로그인 요청(POST /login 등)에서 아이디/비번을 읽어 인증 시도.

  • DefaultResourcesFilter: 기본 로그인/로그아웃 페이지에서 쓰는 정적 리소스 제공.

  • DefaultLoginPageGeneratingFilter: 커스텀 로그인 페이지를 안 만들었을 때 기본 로그인 페이지 HTML 생성.

  • DefaultLogoutPageGeneratingFilter: 기본 로그아웃 페이지 HTML 생성.

  • 로그인을 처리할 url을 /api/auth/login로 설정하세요.

http
    .formLogin(login -> login
        .loginProcessingUrl(...)
    )

  • UserDetailsService 컴포넌트를 대체하세요.

    • 디폴트 구현체는 InMemoryUserDetailsManager입니다.
    • DiscodeitUserDetailsService를 정의하세요.

@Service
@RequiredArgsConstructor
public class DiscodeitUserDetailsService implements UserDetailsService {
    @Override
  public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
      ...
  }
}
  • 디스코드잇 DB에서 자체 관리하는 사용자 정보로 UserDetails 객체를 생성합니다.
  • 구현체를 Bean으로 등록하면 자동으로 대체됩니다.
  • UserDetails 컴포넌트를 대체하세요.
    • 디폴트 구현체는 org.springframework.security.core.userdetails.User입니다.
    • DiscodeitUserDetails를 정의하세요.
@Getter
@RequiredArgsConstructor
public class DiscodeitUserDetails implements UserDetails {
  private final UserDto userDto;
  private final String password;
    ...
}

  • 인증 정보(Principal)에 담을 수 있는 정보를 자유롭게 확장할 수 있습니다.

  • UserDto와 비밀번호 정보를 저장하세요.

  • 앞서 정의한 DiscodeitUserDetailsService에서 DiscodeitUserDetails를 생성 후 반환하세요.

  • AuthenticationSuccessHandler 컴포넌트를 대체하세요.

    • 디폴트 구현체는 SavedRequestAwareAuthenticationSuccessHandler입니다.
    • LoginSuccessHandler를 정의하고 대체하세요.
@Component
public class LoginSuccessHandler implements AuthenticationSuccessHandler {
    ...
    @Override
  public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response,
      Authentication authentication) throws IOException, ServletException {
      ...
  }
}


- 인증 성공 시 200 UserDto로 응답합니다.
- 설정에 추가하세요.

http
    .formLogin(login -> login
        ...
        .successHandler(loginSuccessHandler)
    )
  • AuthenticiationFailureHandler 컴포넌트를 대체하세요.
  • 디폴트 구현체는 SimpleUrlAuthenticationFailureHandler입니다.
  • LoginFailureHandler를 정의하고 대체하세요.
@Component
public class LoginFailureHandler implements AuthenticationFailureHandler {
    ...
  @Override
  public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response,
      AuthenticationException exception) throws IOException, ServletException {
        ...
  }
}
  • 인증 실패 시 401 ErrorResponse로 응답합니다.
  • 설정에 추가하세요.
http
    .formLogin(login -> login
        ...
        .failureHandler(loginFailureHandler)
    )
  • 이제 로그인 처리는 SecurityFilterChain에서 모두 처리되기 때문에 기존에 구현했던 로그인 관련 코드는 제거하세요.
  • AuthApi.login, AuthController.login
  • AuthService.login
  • LoginRequest

인증 - 세션을 활용한 현재 사용자 정보 조회

  • 세션ID를 통해 사용자의 기본 정보(UserDto)를 가져올 수 있도록 API를 정의하세요.
    • API 스펙
      • 엔드포인트: GET /api/auth/me
      • 요청: Header(자동 포함) Cookie: JSESSIONID=…
      • 응답: 200 UserDto
    • SecurityFilterChain의 필터를 통해 인증에 성공하면 Controller에서 @AuthenticationPrincipal를 통해 인증 정보에 접근할 수 있습니다.

인증 - 로그아웃

  • Spring Security의 logout 흐름은 그대로 유지하면서 필요한 부분만 대체합니다.

  • 이번 미션에서는 2가지 요소를 대체합니다.

    • Logout 처리 URL
    • LogoutSuccessHandler

  • 로그아웃을 처리할 url을 /api/auth/logout로 설정하세요.

http
    .logout(logout -> logout
        .logoutUrl(...)
    )
  • LogoutSuccessHandler 컴포넌트를 대체하세요.
    • 디폴트 구현체는 SimpleUrlLogoutSuccessHandler입니다.
    • HttpStatusReturningLogoutSuccessHandler로 대체하세요.
http
    .logout(logout -> logout
        ...
        .logoutSuccessHandler(...)
    )

- 204 Void 응답을 반환하세요.

인가 - 권한 정의

  • 다음과 같이 권한을 정의하세요.
    • 관리자: ADMIN
    • 채널 매니저: CHANNEL_MANAGER
    • 일반 사용자: USER
  • 데이터베이스 스키마를 변경하세요.

CREATE TABLE users
(
    ...
    role varchar(20) NOT NULL
);

ALTER TABLE users
    ADD role varchar(20) NOT NULL;
  • 회원 가입 시 모든 사용자는 USER 권한을 기본 권한으로 설정하세요.
  • 사용자 권한을 수정하는 API를 구현하세요.
    • API 스펙
      • 엔드포인트: PUT /api/auth/role
      • 요청: Body UserRoleUpdateRequest
      • 응답: 200 UserDto
  • 애플리케이션 실행 시 ADMIN 권한을 가진 어드민 계정이 초기화되도록 구현하세요.
    • 어드민 계정이 없는 경우에만 초기화하세요.
  • DiscodietUserDetails.getAuthorities를 수정하세요

인가 - 권한 적용

  • authorizeHttpRequests를 활성화하고, 모든 요청을 인증하도록 설정하세요.
http
    .authorizeHttpRequests(auth -> auth
      .anyRequest().authenticated()
  )
  • 다음의 요청은 인증하지 않도록 설정하세요.
http
    .authorizeHttpRequests(auth -> auth
      ...
      .requestMatchers(...).permitAll()
  )
  • Csrf Token 발급
  • 회원가입
  • 로그인
  • 로그아웃
  • API가 아닌 요청(Swagger, Actuator 등)
  • Method Security를 활성화하세요.

...
@EnableMethodSecurity
public class SecurityConfig {...}

  • Service의 메소드 별로 아래의 조건에 맞게 권한을 수정하세요.

    • 퍼블릭 채널 생성, 수정, 삭제는 CHANNEL_MANAGER 권한을 가져야합니다.
    • 사용자 권한 수정은 ADMIN 권한을 가져야합니다.

  • 적절한 권한이 없는 경우 403 응답을 반환하세요.

    • SecurityFilterChain
http
    .exceptionHandling(ex -> ex
      .authenticationEntryPoint(...)
      .accessDeniedHandler(...)
  )
  • GlobalExceptionHandler
@ExceptionHandler(MethodArgumentNotValidException.class)
public ResponseEntity<ErrorResponse> handleValidationExceptions(MethodArgumentNotValidException ex) {...}
  • RoleHierarchy를 활용해 권한의 계층 구조를 정의하세요.
    • 관리자 > 채널 매니저 > 일반 사용자
    • 관리자 권한은 채널 매니저, 일반 사용자 권한을 포함합니다.
    • 채널 매니저 권한은 일반 사용자 권한을 포함합니다.
@Bean
public RoleHierarchy roleHierarchy() {...}

@Bean
static MethodSecurityExpressionHandler methodSecurityExpressionHandler(
    RoleHierarchy roleHierarchy) {
  DefaultMethodSecurityExpressionHandler handler = new DefaultMethodSecurityExpressionHandler();
  handler.setRoleHierarchy(roleHierarchy);
  return handler;
}

심화 요구 사항

세션 관리 고도화

  • 동일한 계정으로 동시 로그인할 수 없도록 설정하세요.
    • sessionConcurrency 설정을 활용하세요.
http
    .sessionManagement(management -> management
        .sessionConcurrency(concurrency -> concurrency
            ...
        )
    )

  • 세션의 동일성을 보장하기 위해 DiscodeitUserDetails의 equals(), hashcode() 메소드를 오버라이딩하세요.

  • 권한이 변경된 사용자가 로그인 상태라면 세션을 무효화하세요.

    • sessionRegistry를 활용하세요.
@Bean
public SecurityFilterChain filterChain(
      ...
    HttpSecurity http,
    SessionRegistry sessionRegistry
    ) {
    http
        .sessionManagement(management -> management
            .sessionConcurrency(concurrency -> concurrency
                ...
                .sessionRegistry(sessionRegistry)
            )
        )
    ...
}


@Bean
public SessionRegistry sessionRegistry() {...}
  • httpSessionEventPublisher: HttpSession이 만료된 경우 이벤트를 통해 SessionRegistry의 SessionInformation도 자동으로 만료하기 위해 필요한 Bean입니다.
@Service
public class BasicAuthService implements AuthService {
  ...
  private final SessionRegistry sessionRegistry;
  ...
}
  • UserStatus 엔티티 대신 SessionRegistry를 활용해 사용자의 로그인 여부를 판단하도록 리팩토링하세요.
    • UserStatus 엔티티와 관련된 코드는 모두 삭제하세요.
    • (로그아웃처럼) HttpSession 만료 시 SessionRegistry의 SessionInformation도 자동으로 만료 처리할 수 있도록 HttpSessionEventPublisher를 Bean으로 등록합니다.
@Bean
public HttpSessionEventPublisher httpSessionEventPublisher() {
  return new HttpSessionEventPublisher();
}

로그인 고도화 - RememberMe

  • 로그인 요청 파라미터(remember-me)가 true인 경우 세션이 무효화되어도 자동으로 다시 로그인되도록 하세요.
    • 로그인 화면에서 로그인 유지 체크 후 로그인하면 remember-me 파라미터가 true로 설정되어 요청합니다.
    • remeberMe 설정을 활용하세요.
http
    .rememberMe(...)
  • 로그인 상태에서 JESSIONID 쿠키를 삭제 후 새로고침했을 때 인증 상태가 유지 되는지 확인해보세요.

권한 적용 고도화

  • SpEL을 활용해 Method Security 기반 리소스 보호 정책을 강화해보세요.
    • 사용자 정보 수정, 삭제는 본인만 할 수 있습니다.
    • 메시지 수정, 삭제는 해당 메시지를 작성한 사람만 할 수 있습니다.

Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment

Reviewers

No reviews

Assignees

No one assigned

Labels

None yet

Projects

None yet

Milestone

No milestone

Development

Successfully merging this pull request may close these issues.

1 participant

@chaoskyj1120