Skip to content

[문은서] Sprint9 #126

New issue

Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.

Sign up for GitHub

By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.

Already on GitHub? Sign in to your account

Jump to bottom
Open
wants to merge 19 commits into
base: 문은서
Choose a base branch
from
Open

[문은서] Sprint9 #126

wants to merge 19 commits into from

Conversation

kosy00
Copy link
Collaborator

@kosy00 kosy00 commented Oct 2, 2025
edited
Loading

요구사항

Spring Security 환경설정

  • 프로젝트에 Spring Security 의존성을 추가하세요.

  • Security 설정 클래스를 생성하세요.

    • 패키지명: com.sprint.mission.discodeit.config
    • 클래스명: SecurityConfig

  • SecurityFilterChain Bean을 선언하세요.

  • 가장 기본적인 SecurityFilterChain을 등록하고, 이때 등록되는 필터 목록을 디버깅해보세요. 필터 목록은 PR에 첨부하세요.

@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
    return http.build();
}

  • 개발 환경에서 Spring Security 모듈의 로깅 레벨을 trace로 설정하세요.

    • 각 요청마다 통과하는 필터 목록을 확인할 수 있습니다.

CSRF 보호 설정하기

  • CsrfTokenRepository 구현체를 CookieCsrfTokenRepository로 설정하세요.

    • 디폴트 구현체는 HttpSessionCsrfTokenRepository입니다.
http
    .csrf(csrf -> csrf
      .csrfTokenRepository(CookieCsrfTokenRepository.withHttpOnlyFalse())
    )

  • 이때 클라이언트에서 쿠키에 저장된 CSRF 토큰에 접근해야 하므로 Http Only는 false로 설정합니다.

  • CsrfTokenRequestHandler 컴포넌트를 대체하세요.

    • 디폴트 구현체는 XorCsrfTokenRequestAttributeHandler입니다.

    • Spring 공식문서에서 권장하는 CSR+SPA(Single Page Application) 환경에 적합한 구현체를 정의하세요.

  • CSRF 토큰을 발급하는 API를 구현하세요.

    • API 스펙
      • 엔드포인트: GET /api/auth/csrf-token
      • 요청: 없음
      • 응답: 203 Void
@GetMapping("csrf-token")
public ResponseEntity<Void> getCsrfToken(CsrfToken csrfToken) {
  String tokenValue = csrfToken.getToken();
  log.debug("CSRF 토큰 요청: {}", tokenValue);    
  ...
}
  • CsrfToken 파라미터를 메서드 인자로 선언하면, HandlerMethodArgumentResolver를 통해 자동으로 주입됩니다. (공식문서)
  • GET 요청에는 CSRF 인증이 이루어지지 않기 때문에 토큰이 초기화되지 않습니다. 따라서 명시적으로 메소드에서 토큰을 호출합니다.

회원가입

  • 회원가입 API 스펙은 유지합니다.
    • API 스펙
      • 엔드포인트: POST /api/users
      • 요청: Body UserCreateRequest, MultipartFile
      • 응답: 200 UserDto
  • 회원가입 시 비밀번호는 PasswordEncoder를 통해 해시로 저장하세요.
    • PasswordEncoder의 구현체는 BCryptPasswordEncoder를 활용하세요.

인증 - 로그인

  • formLogin 을 기본값으로 활성화하고, 추가된 필터를 확인해보세요.

  • Spring Security의 formLogin 인증 흐름은 그대로 유지하면서 필요한 부분만 대체합니다.

  • 로그인을 처리할 url을 /api/auth/login로 설정하세요.

  • UserDetailsService 컴포넌트를 대체하세요.

    • 디폴트 구현체는 InMemoryUserDetailsManager입니다.

    • DiscodeitUserDetailsService를 정의하세요.

      • 디스코드잇 DB에서 자체 관리하는 사용자 정보로 UserDetails 객체를 생성합니다.
      • 구현체를 Bean으로 등록하면 자동으로 대체됩니다.

  • UserDetails 컴포넌트를 대체하세요.

    • 디폴트 구현체는 org.springframework.security.core.userdetails.User입니다.

    • DiscodeitUserDetails를 정의하세요.

      • 인증 정보(Principal)에 담을 수 있는 정보를 자유롭게 확장할 수 있습니다.
      • UserDto와 비밀번호 정보를 저장하세요.

    • 앞서 정의한 DiscodeitUserDetailsService에서 DiscodeitUserDetails를 생성 후 반환하세요.

  • AuthenticationSuccessHandler 컴포넌트를 대체하세요.

    • 디폴트 구현체는 SavedRequestAwareAuthenticationSuccessHandler입니다.
    • LoginSuccessHandler를 정의하고 대체하세요.

  • 인증 성공 시 200 UserDto로 응답합니다.

  • AuthenticiationFailureHandler 컴포넌트를 대체하세요.

    • 디폴트 구현체는 SimpleUrlAuthenticationFailureHandler입니다.

    • LoginFailureHandler를 정의하고 대체하세요.

      • 인증 실패 시 401 ErrorResponse로 응답합니다.

  • 이제 로그인 처리는 SecurityFilterChain에서 모두 처리되기 때문에 기존에 구현했던 로그인 관련 코드는 제거하세요.

인증 - 세션을 활용한 현재 사용자 정보 조회

  • 세션ID를 통해 사용자의 기본 정보(UserDto)를 가져올 수 있도록 API를 정의하세요.
    • API 스펙
      • 엔드포인트: GET /api/auth/me
      • 요청: Header(자동 포함) Cookie: JSESSIONID=…
      • 응답: 200 UserDto
    • SecurityFilterChain의 필터를 통해 인증에 성공하면 Controller에서 @AuthenticationPrincipal를 통해 인증 정보에 접근할 수 있습니다.

인증 - 로그아웃

  • Spring Security의 logout 흐름은 그대로 유지하면서 필요한 부분만 대체합니다.

  • 이번 미션에서는 2가지 요소를 대체합니다.

    • Logout 처리 URL
    • LogoutSuccessHandler

  • 로그아웃을 처리할 url을 /api/auth/logout로 설정하세요.

  • LogoutSuccessHandler 컴포넌트를 대체하세요.

    • 디폴트 구현체는 SimpleUrlLogoutSuccessHandler입니다.

    • HttpStatusReturningLogoutSuccessHandler로 대체하세요.

      • 204 Void 응답을 반환하세요.

인가 - 권한 정의

  • 다음과 같이 권한을 정의하세요.

faef2l3uk-image.png

관리자: ADMIN
채널 매니저: CHANNEL_MANAGER
일반 사용자: USER

  • 데이터베이스 스키마를 변경하세요.

  • 회원 가입 시 모든 사용자는 USER 권한을 기본 권한으로 설정하세요.

  • 사용자 권한을 수정하는 API를 구현하세요.

  • API 스펙
    엔드포인트: PUT /api/auth/role
    요청: Body UserRoleUpdateRequest
    응답: 200 UserDto

qu8jij3u4-image.png

  • 애플리케이션 실행 시 ADMIN 권한을 가진 어드민 계정이 초기화되도록 구현하세요.

    • 어드민 계정이 없는 경우에만 초기화하세요.

  • DiscodietUserDetails.getAuthorities를 수정하세요.

인가 - 권한 적용

  • authorizeHttpRequests를 활성화하고, 모든 요청을 인증하도록 설정하세요.

  • 다음의 요청은 인증하지 않도록 설정하세요.

    • Csrf Token 발급
    • 회원가입
    • 로그인
    • 로그아웃
    • API가 아닌 요청(Swagger, Actuator 등)

  • Method Security를 활성화하세요.

  • Service의 메소드 별로 아래의 조건에 맞게 권한을 수정하세요.

    • 퍼블릭 채널 생성, 수정, 삭제는 CHANNEL_MANAGER 권한을 가져야합니다.
    • 사용자 권한 수정은 ADMIN 권한을 가져야합니다.

  • 적절한 권한이 없는 경우 403 응답을 반환하세요.

    • SecurityFilterChain
http
    .exceptionHandling(ex -> ex
      .authenticationEntryPoint(...)
      .accessDeniedHandler(...)
  )
  • GlobalExceptionHandler
@ExceptionHandler(MethodArgumentNotValidException.class)
public ResponseEntity<ErrorResponse> handleValidationExceptions(MethodArgumentNotValidException ex) {...}

  • RoleHierarchy를 활용해 권한의 계층 구조를 정의하세요.

    • 관리자 > 채널 매니저 > 일반 사용자
      • 관리자 권한은 채널 매니저, 일반 사용자 권한을 포함합니다.
      • 채널 매니저 권한은 일반 사용자 권한을 포함합니다.

심화

세션 관리 고도화

  • 동일한 계정으로 동시 로그인할 수 없도록 설정하세요.

sessionConcurrency 설정을 활용하세요.

http
    .sessionManagement(management -> management
        .sessionConcurrency(concurrency -> concurrency
            ...
        )
    )

  • 세션의 동일성을 보장하기 위해 DiscodeitUserDetails의 equals(), hashcode() 메소드를 오버라이딩하세요.

  • 권한이 변경된 사용자가 로그인 상태라면 세션을 무효화하세요.

    • sessionRegistry를 활용하세요.
@Bean
public SecurityFilterChain filterChain(
     ...
   HttpSecurity http,
   SessionRegistry sessionRegistry
   ) {
   http
       .sessionManagement(management -> management
           .sessionConcurrency(concurrency -> concurrency
               ...
               .sessionRegistry(sessionRegistry)
           )
       )
   ...
}

@Bean
public SessionRegistry sessionRegistry() {...}
  • httpSessionEventPublisher: HttpSession이 만료된 경우 이벤트를 통해 SessionRegistry의 SessionInformation도 자동으로 만료하기 위해 필요한 Bean입니다.
@Service
public class BasicAuthService implements AuthService {
  ...
  private final SessionRegistry sessionRegistry;
  ...
}

  • UserStatus 엔티티 대신 SessionRegistry를 활용해 사용자의 로그인 여부를 판단하도록 리팩토링하세요.

    • UserStatus 엔티티와 관련된 코드는 모두 삭제하세요.
    • (로그아웃처럼) HttpSession 만료 시 SessionRegistry의 SessionInformation도 자동으로 만료 처리할 수 있도록 HttpSessionEventPublisher를 Bean으로 등록합니다.
@Bean
public HttpSessionEventPublisher httpSessionEventPublisher() {
  return new HttpSessionEventPublisher();
}

로그인 고도화 - RememberMe

  • 로그인 요청 파라미터(remember-me)가 true인 경우 세션이 무효화되어도 자동으로 다시 로그인되도록 하세요.

    • 로그인 화면에서 로그인 유지 체크 후 로그인하면 remember-me 파라미터가 true로 설정되어 요청합니다.

    • remeberMe 설정을 활용하세요.

    • 로그인 상태에서 JESSIONID 쿠키를 삭제 후 새로고침했을 때 인증 상태가 유지 되는지 확인해보세요.

권한 적용 고도화

  • SpEL을 활용해 Method Security 기반 리소스 보호 정책을 강화해보세요.
    • 사용자 정보 수정, 삭제는 본인만 할 수 있습니다.
    • 메시지 수정, 삭제는 해당 메시지를 작성한 사람만 할 수 있습니다.

주요 변경사항

스크린샷

멘토에게

  • 셀프 코드 리뷰를 통해 질문 이어가겠습니다.

문은서 added 19 commits June 27, 2025 10:37
과제3 최초 커밋
3255c44
chore: .gitattributes 추가 및 LF 개행 처리
53448f6
과제4 최초 커밋
5e87b6b
ReadStatus 기능 수정 및 findByUserIdAndChannelId 구현
37a52b9
sprint mission5 최초 커밋
f02d94d
sprint mission6 최초 커밋
52feeaa
chore: .gitignore 수정
d0b7854
fix: 이전 과제 디렉토리를 PR에서 제외
c4a254c
refactor: DB 설정에 환경 변수 적용
d1eb087
sprint7 최초 커밋
ca1fa4e
springt8 최초 커밋
233d276
💿 CD workflow 테스트용 release 브랜치
8bf857d
과제9 최초 커밋
da0ff8a
feat: CSRF토큰 쿠키 기반 설정 및 발급 API 구현
246873f
feat: PasswordEncoder 적용
2f09da9
refactor: 로그인 관련 로직 수정
e045bc8
권한 정의, 권한 적용
08deae7
feat: 세션관리 고도화
3876c93
feat: 세션관리, 로그인, 권한 적용 고도화
1952726
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment

Reviewers

No reviews

Assignees

No one assigned

Labels

None yet

Projects

None yet

Milestone

No milestone

Development

Successfully merging this pull request may close these issues.

1 participant

@kosy00