📕 Backend

이 전 포스팅에서 OAuth2.0을 통한 구글 소셜 로그인을 적용해보았습니다. 하지만 단순히 로그인만 성공 했을 뿐 아직 남은 문제들이 있습니다. 1. 아직 소셜 로그인으로 로그인한 사용자에 대한 정보가 데이터베이스에 없습니다. ▶︎ 데이터베이스에 소셜 로그인한 사용자의 정보를 커스텀해서 저장 필요 2. 소셜 로그인한 사용자에 대한 접근 권한이 주어지지 않았습니다. ▶︎ 소셜 로그인 사용자에 대해 접근 권한 설정 (이 또한 데이터베이스에 저장 시 Role 설정으로써 해결) 이번 포스팅에서는 주어진 위의 문제들을 Spring Security 내부에서 처리해보도록 합시다! 일반 로그인 로직을 다시 한 번 정리. 1. Request ➡️ AuthenticationFilter : 클라이언트가 Authentica..

OAuth란? OAuth는 Open Authorization의 약자로, 인터넷 사용자들이 비밀번호를 제공하지 않고 다른 웹사이트 상의 자신들의 정보에 대해 웹사이트나 애플리케이션의 접근 권한을 부여할 수 있는 공통적인 수단으로서 사용되는, 접근 위임을 위한 개방형 표준 프로토콜입니다. 자체 서버가 아닌 OAuth 인증 공급자를 사용 ( 구글, 카카오, 네이버 등 ) 접근 권한(인가)을 증명하는 액세스 토큰을 발급해줍니다. 이 액세스 토큰 값으로 접근 권한을 검사합니다. 소셜 로그인에 사용 OAuth 2.0 구성요소 Resource Owner : 액세스할 USER Authorization Server : USER에게 Token을 발급해주는 공급자 Authorization Code : Access Token..

Spring Security는 Filter를 통해 권한을 검사할 수도 있지만, 추가적으로 특정 URI에 접근할 때 권한을 검사하여 특정 권한만 해당 URI에 접근할 수 있도록 별도의 어노테이션을 지원합니다. 이런 어노테이션을 사용하기에 앞서 @Configuration이 붙은 설정파일에 아래와 같이 @EnableGlobalMethodSecurity 어노테이션을 추가적으로 설정하여 별도 권한처리 어노테이션의 활성화 여부를 지정해 주어야 합니다. @EnableGlobalMethodSecurity @Configuration @EnableGlobalMethodSecurity(securedEnabled = true, // @Secured 활성화 prePostEnabled = true // @PreAuthorized..

이번 포스팅에서는 간단하게 Spring Security를 이용해 회원 가입과 로그인 기능을 구현해봅시다. build.gradle 설정 의존관계에 추가 implementation 'org.springframework.boot:spring-boot-starter-security' testImplementation 'org.springframework.security:spring-security-test' 스프링 시큐리티 의존성 추가 시 1. 서버 실행 시 Spring Security의 초기화 작업 및 보안 설정됩니다. 2. 별도의 설정이나 구현을 하지 않아도 기본적인 웹 보안 기능이 서버에 연동됩니다. 3. 모든 요청은 인증이 되어야 접근 가능 4. 기본 로그인 페이지 제공 + application.prop..

Spring Security란? Spring Security는 Spring 기반의 애플리케이션의 보안(인증과 권한, 인가 등)을 담당하는 스프링 하위 프레임워크입니다. Spring Security는 '인증' , '권한'에 대한 부분을 Filter 흐름에 따라 처리합니다. Spring Security는 기본적으로 인증(로그인) 절차를 거친 후 인가(접근 권한) 절차를 진행합니다. 이 때 기본적으로 인증과 인가를 위해 Principal(접근 주체)을 아이디로, Credential(비밀번호)을 비밀번호로 사용하는 Credential 기반의 인증방식을 사용합니다. Filter VS Interceptor 필터 : HTTP Request ▶︎ WAS ▶︎ 필터 ▶︎ 서블릿 ▶︎ 컨트롤러 인터셉터 : HTTP Req..