[SpringBoot] Spring Security를 활용한 인증 및 권한

Notice

즐거움을 코딩으로 표현하는 개발자입니다. 😎

Recent Posts

Recent Comments

Link

« 2025/09 »
일	월	화	수	목	금	토
	1	2	3	4	5	6
7	8	9	10	11	12	13
14	15	16	17	18	19	20
21	22	23	24	25	26	27
28	29	30

Tags more

Archives

Today

Total

관리 메뉴

<Hello Hosung😎/>

[SpringBoot] Spring Security를 활용한 인증 및 권한 본문

💻 Java/ㅤJava(SpringBoot)

[SpringBoot] Spring Security를 활용한 인증 및 권한

좌충우돌 백엔드 개발자 일기🧐 2024. 11. 23. 22:34

Spring Security는 Spring 기반 애플리케이션에서 인증(authentication) 및 권한(authorization) 처리를 위한 강력한 프레임워크입니다. 이 블로그에서는 Spring Security를 설정하고, 기본적인 인증 및 권한 관리 방법을 설명합니다.

1. Spring Security 소개

Spring Security는 웹 애플리케이션에서 중요한 보안 기능을 제공하는 프레임워크입니다. 기본적으로 다음과 같은 기능을 제공합니다:

인증(Authentication): 사용자가 누구인지 확인하는 과정.
권한(Authorization): 사용자가 특정 리소스에 접근할 수 있는 권한을 확인하는 과정.

2. Spring Security 설정하기

2.1. 의존성 추가

Spring Security를 프로젝트에 추가하려면 pom.xml에 의존성을 추가해야 합니다.

<dependencies>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
    </dependency>
    <!-- 필요한 경우 JPA, Thymeleaf 등의 의존성도 추가 -->
</dependencies>

Spring Boot 프로젝트에서는 spring-boot-starter-security만 추가하면 기본적인 보안 설정이 자동으로 구성됩니다.

2.2. 기본 인증 설정

Spring Security는 기본적으로 HTTP 기본 인증을 사용합니다. 이를 통해 애플리케이션에 접근하려는 사용자는 로그인 화면을 통해 인증을 받게 됩니다.

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/public/**").permitAll()  // 공개 URL은 인증 없이 접근 가능
                .anyRequest().authenticated()  // 나머지 URL은 인증 필요
            .and()
            .formLogin();  // 기본 로그인 폼 사용
    }
}

이 설정은 /public/** 경로는 인증 없이 접근할 수 있도록 하고, 다른 모든 요청은 인증을 요구하도록 구성합니다.

3. 사용자 인증 구현

Spring Security는 기본적으로 UserDetailsService를 사용하여 사용자 정보를 로드합니다. 이를 구현하여 사용자 정보를 관리할 수 있습니다.

3.1. UserDetailsService 구현

사용자 인증을 위해 UserDetailsService를 구현할 수 있습니다.

import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.stereotype.Service;

@Service
public class CustomUserDetailsService implements UserDetailsService {

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        // 실제 DB에서 사용자 정보를 가져오는 코드
        if ("admin".equals(username)) {
            return User.builder()
                       .username("admin")
                       .password("{noop}password")  // {noop}은 패스워드 인코딩을 하지 않음을 의미
                       .roles("ADMIN")
                       .build();
        } else {
            throw new UsernameNotFoundException("User not found");
        }
    }
}

3.2. 비밀번호 인코딩

패스워드를 안전하게 저장하려면 비밀번호를 인코딩해야 합니다.
Spring Security는 BCryptPasswordEncoder를 사용하여 비밀번호를 안전하게 처리할 수 있습니다.

import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;

@Configuration
public class PasswordConfig {

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

사용자 인증 과정에서 비밀번호를 인코딩된 형태로 비교할 수 있게 됩니다.

4. 권한 관리

Spring Security에서는 권한 관리도 간단하게 처리할 수 있습니다. 권한은 @PreAuthorize, @Secured, 또는 hasRole() 등의 표현식을 사용하여 설정할 수 있습니다.

4.1. URL 기반 권한 설정

Spring Security에서는 HttpSecurity를 통해 URL에 대한 권한을 설정할 수 있습니다.

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
        .authorizeRequests()
            .antMatchers("/admin/**").hasRole("ADMIN")  // 관리자만 접근 가능
            .antMatchers("/user/**").hasAnyRole("USER", "ADMIN")  // 사용자 또는 관리자가 접근 가능
            .anyRequest().authenticated()  // 나머지 URL은 인증 필요
        .and()
        .formLogin();
}

4.2. 메소드 기반 권한 설정

메소드 레벨에서도 권한을 설정할 수 있습니다. 예를 들어, 특정 메소드가 실행되기 전에 권한을 체크하도록 설정할 수 있습니다.

import org.springframework.security.access.prepost.PreAuthorize;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;

@RestController
public class SampleController {

    @PreAuthorize("hasRole('ADMIN')")
    @GetMapping("/admin/dashboard")
    public String getAdminDashboard() {
        return "Admin Dashboard";
    }

    @PreAuthorize("hasRole('USER') or hasRole('ADMIN')")
    @GetMapping("/user/profile")
    public String getUserProfile() {
        return "User Profile";
    }
}

5. 마무리

Spring Security를 활용하면 애플리케이션에서 인증과 권한 관리를 매우 쉽게 설정할 수 있습니다. 사용자 인증과 권한 설정을 통해 보안을 강화하고, 세밀한 권한 제어가 가능합니다. 위에서 설명한 기본 설정을 바탕으로 더 복잡한 요구 사항을 처리할 수 있는 기반을 마련할 수 있습니다.

추가적으로, JWT 인증, OAuth2 인증 등 고급 기능들도 Spring Security에서 지원하므로 필요에 따라 확장하여 사용할 수 있습니다.

'💻 Java > ㅤJava(SpringBoot)' 카테고리의 다른 글

[Spring] AOP 개념부터 로깅 예제까지 한 번에 이해하기 (0)	2024.11.17
[SpringBoot] 의존성 주입(Dependency Injection) 개념과 활용 (5)	2024.11.08
[SpringBoot]Scheduling (0)	2024.08.16

'💻 Java/ㅤJava(SpringBoot)' Related Articles

<Hello Hosung😎/>

[SpringBoot] Spring Security를 활용한 인증 및 권한 본문

[SpringBoot] Spring Security를 활용한 인증 및 권한

1. Spring Security 소개

2. Spring Security 설정하기

3. 사용자 인증 구현

4. 권한 관리

5. 마무리

'💻 Java > ㅤJava(SpringBoot)' 카테고리의 다른 글

티스토리툴바