S03L05 - 스프링 부트 인증 컨트롤러, 사용자 목록, 보안 추가

html

Spring Security 및 JWT 인증을 사용한 Spring Boot API 보안
목차

소개 ................................................................. 1
Spring Security 이해 ................. 3
JWT를 사용한 토큰 기반 인증 ..... 7
보안 구성 구현 ..... 12
Auth Controller 생성 ................... 18
사용자 역할 및 권한 관리 ... 25
보안 예외 처리 .................... 30
보안된 API 테스트 ............................ 35
결론 ......................................................................... 42


소개
현대 웹 개발 환경에서 API 보안은 매우 중요합니다. 애플리케이션이 복잡해지고 민감한 데이터를 처리함에 따라 강력한 인증 및 권한 부여 메커니즘을 보장하는 것이 필수적입니다. 이 전자책에서는 Spring Security와 JSON Web Token(JWT)을 결합하여 토큰 기반 인증으로 Spring Boot API를 보안하는 방법을 다룹니다. Spring Security의 복잡한 부분을 탐구하고, JWT 기반 인증을 구현하며, 사용자 역할을 관리하고, 보안 예외를 처리하며, 확고한 보호를 보장하기 위해 보안된 API를 테스트할 것입니다.
API 보안의 중요성
API는 종종 현대 애플리케이션의 중추 역할을 하며, 다양한 서비스와 클라이언트 간의 통신을 촉진합니다. 적절한 보안 조치가 없으면 API는 무단 접근, 데이터 유출, 리소스 오용 등의 다양한 위협에 취약합니다. 강력한 보안을 구현하면 인증되고 권한이 부여된 사용자만 API와 상호 작용할 수 있게 되어 데이터와 사용자를 모두 보호할 수 있습니다.
이 전자책의 목적
이 전자책은 초보자와 기본 지식을 가진 개발자에게 Spring Boot API를 효과적으로 보안하는 방법에 대한 포괄적인 가이드를 제공하는 것을 목표로 합니다. 상세한 설명, 코드 스니펫, 실용적인 예제를 통해 애플리케이션에서 보안을 자신 있게 구현하고 관리하는 데 필요한 기술을 습득하게 될 것입니다.
표 개요


주제
설명


Spring Security
Spring Boot 프로젝트에서 Spring Security의 개요 및 설정


JWT Authentication
토큰 기반 인증의 이해 및 구현


Security Configurations
API의 보안 설정 구성


Auth Controller
인증 프로세스를 처리하는 컨트롤러 생성


User Roles and Authorities
사용자 역할 및 권한 관리


Security Exceptions
보안 예외 처리 및 사용자 정의


Testing Secured APIs
보안 조치가 의도대로 작동하는지 확인


JWT 인증을 사용해야 하는 시기와 장소
JWT 기반 인증은 무상태 애플리케이션, 마이크로서비스, 그리고 확장성이 중요한 시나리오에 이상적입니다. 이는 당사자 간의 안전한 정보 전송을 가능하게 하며, 인증 및 권한 부여 처리에서의 단순성과 효과성 덕분에 널리 채택되고 있습니다.

Spring Security 이해
Spring Security는 Java 애플리케이션에서 인증 및 권한 부여를 처리하도록 설계된 강력하고 고도로 사용자 정의 가능한 프레임워크입니다. Spring Boot와 매끄럽게 통합되어 기본적으로 포괄적인 보안 기능을 제공합니다.
Spring Security의 주요 특징

인증 및 권한 부여: 사용자 로그인 프로세스와 리소스 접근 제어를 처리합니다.
포괄적인 지원: 폼 기반, OAuth2, LDAP 등 다양한 인증 메커니즘을 지원합니다.
확장성: 특정 보안 요구 사항에 맞게 쉽게 사용자 정의할 수 있습니다.
일반적인 위협으로부터 보호: CSRF, 세션 고정 공격 등과 같은 공격으로부터 보호합니다.

Spring Boot에서 Spring Security 설정
Spring Security를 Spring Boot 프로젝트에 통합하려면 다음 단계를 따르세요:

의존성 추가: pom.xml에 Spring Security 의존성을 포함합니다.





		
		
			
			
Java
			
			&lt;dependency&gt;
    &lt;groupId&gt;org.springframework.boot&lt;/groupId&gt;
    &lt;artifactId&gt;spring-boot-starter-security&lt;/artifactId&gt;
&lt;/dependency&gt;

			
				
					
				
					1
2
3
4
5
				
						&lt;dependency&gt;
    &lt;groupId&gt;org.springframework.boot&lt;/groupId&gt;
    &lt;artifactId&gt;spring-boot-starter-security&lt;/artifactId&gt;
&lt;/dependency&gt;
 
					
				
			
		



보안 설정 구성: 보안 동작을 정의하는 보안 구성 클래스를 생성합니다.





		
		
			
			
Java
			
			@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .csrf().disable()
            .authorizeRequests()
            .antMatchers("/auth/**").permitAll()
            .anyRequest().authenticated();
    }
}

			
				
					
				
					1
2
3
4
5
6
7
8
9
10
11
12
13
				
						@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .csrf().disable()
            .authorizeRequests()
            .antMatchers("/auth/**").permitAll()
            .anyRequest().authenticated();
    }
}
 
					
				
			
		



User Details Service 정의: 사용자별 데이터를 로드하는 서비스를 구현합니다.





		
		
			
			
Java
			
			@Service
public class MyUserDetailsService implements UserDetailsService {
    @Autowired
    private UserRepository userRepository;
    
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User user = userRepository.findByUsername(username);
        if (user == null) {
            throw new UsernameNotFoundException("User not found");
        }
        return new org.springframework.security.core.userdetails.User(user.getUsername(), user.getPassword(), new ArrayList&lt;&gt;());
    }
}

			
				
					
				
					1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
				
						@Service
public class MyUserDetailsService implements UserDetailsService {
    @Autowired
    private UserRepository userRepository;
    
    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User user = userRepository.findByUsername(username);
        if (user == null) {
            throw new UsernameNotFoundException("User not found");
        }
        return new org.springframework.security.core.userdetails.User(user.getUsername(), user.getPassword(), new ArrayList&lt;&gt;());
    }
}
 
					
				
			
		


Spring Security 사용의 이점

포괄적인 보안: 기본적으로 다양한 보안 기능을 제공합니다.
통합 용이성: Spring Boot 애플리케이션과 매끄럽게 통합됩니다.
사용자 정의 가능: 특정 보안 요구 사항을 충족하도록 고도로 적응 가능합니다.
활발한 커뮤니티 및 지원: 잘 문서화되어 있고 강력한 커뮤니티 지원을 받습니다.


JWT를 사용한 토큰 기반 인증
JSON Web Token(JWT)은 인증 및 권한 부여를 처리하기 위한 무상태이며 확장 가능한 방법을 제공합니다. 전통적인 세션 기반 인증과 달리 JWT는 서버 측 세션의 필요성을 없애 성능과 확장성을 향상시킵니다.
JWT란 무엇입니까?
JWT는 두 당사자 간에 전송될 클레임을 나타내는 간결하고 URL 안전한 수단입니다. 토큰은 세 부분으로 구성됩니다:

헤더: 토큰 유형 및 해싱 알고리즘을 지정합니다.
페이로드: 클레임 또는 데이터를 포함합니다.
서명: 토큰의 무결성을 보장합니다.

인증에서 JWT의 작동 원리

사용자 로그인: 사용자가 서버에 자격 증명을 전송합니다.
토큰 생성: 인증에 성공하면 서버가 JWT를 생성하여 사용자에게 보냅니다.
토큰 저장: 클라이언트가 JWT를 저장합니다(일반적으로 로컬 스토리지나 쿠키에 저장).
인증된 요청: 클라이언트가 후속 요청에 Authorization 헤더에 JWT를 포함합니다.
토큰 검증: 서버가 JWT의 유효성을 검증하고 토큰의 클레임에 따라 접근을 허용하거나 거부합니다.

JWT 사용의 장점

무상태: 서버에 세션 정보를 저장할 필요가 없습니다.
확장 가능: 분산 시스템 및 마이크로서비스에 적합합니다.
안전: 데이터 무결성과 기밀성을 보장하기 위해 서명 및 암호화할 수 있습니다.
유연성: 다양한 사용 사례에 맞는 다양한 페이로드 구조를 지원합니다.

Spring Boot에서 JWT 구현
Spring Boot에서 JWT 기반 인증을 구현하려면 다음을 수행하세요:

JWT 생성: 인증에 성공하면 토큰을 생성합니다.





		
		
			
			
Java
			
			public class JwtUtil {
    private String secret = "mysecretkey";

    public String generateToken(UserDetails userDetails) {
        Map&lt;String, Object&gt; claims = new HashMap&lt;&gt;();
        return createToken(claims, userDetails.getUsername());
    }

    private String createToken(Map&lt;String, Object&gt; claims, String subject) {
        return Jwts.builder()
                .setClaims(claims)
                .setSubject(subject)
                .setIssuedAt(new Date(System.currentTimeMillis()))
                .setExpiration(new Date(System.currentTimeMillis() + 1000 * 60 * 60 * 10))
                .signWith(SignatureAlgorithm.HS256, secret)
                .compact();
    }
}

			
				
					
				
					1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
				
						public class JwtUtil {
    private String secret = "mysecretkey";
 
    public String generateToken(UserDetails userDetails) {
        Map&lt;String, Object&gt; claims = new HashMap&lt;&gt;();
        return createToken(claims, userDetails.getUsername());
    }
 
    private String createToken(Map&lt;String, Object&gt; claims, String subject) {
        return Jwts.builder()
                .setClaims(claims)
                .setSubject(subject)
                .setIssuedAt(new Date(System.currentTimeMillis()))
                .setExpiration(new Date(System.currentTimeMillis() + 1000 * 60 * 60 * 10))
                .signWith(SignatureAlgorithm.HS256, secret)
                .compact();
    }
}
 
					
				
			
		



JWT 검증: 토큰의 무결성과 만료를 확인합니다.





		
		
			
			
Java
			
			public boolean validateToken(String token, UserDetails userDetails) {
    final String username = extractUsername(token);
    return (username.equals(userDetails.getUsername()) && !isTokenExpired(token));
}

			
				
					
				
					1
2
3
4
5
				
						public boolean validateToken(String token, UserDetails userDetails) {
    final String username = extractUsername(token);
    return (username.equals(userDetails.getUsername()) && !isTokenExpired(token));
}
 
					
				
			
		



요청에서 JWT 사용: Authorization 헤더에 토큰을 포함합니다.





		
		
			
			
Java
			
			Authorization: Bearer &lt;token&gt;

			
				
					
				
					1
2
				
						Authorization: Bearer &lt;token&gt;
 
					
				
			
		



보안 구성 구현
Spring Security를 구성하는 것은 애플리케이션이 보안 문제를 어떻게 처리하는지를 정의하는 데 중요합니다. 이 섹션에서는 JWT 기반 인증을 활성화하기 위한 보안 구성 설정에 대해 설명합니다.
보안 구성 클래스 생성
보안 구성 클래스는 WebSecurityConfigurerAdapter를 확장하여 보안 동작을 사용자 정의합니다.




		
		
			
			
Java
			
			@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private JwtRequestFilter jwtRequestFilter;

    @Autowired
    private MyUserDetailsService myUserDetailsService;

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(myUserDetailsService);
    }

    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }
 
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
            .authorizeRequests()
            .antMatchers("/auth/**").permitAll()
            .antMatchers("/users/**").hasAuthority("USER")
            .anyRequest().authenticated()
            .and().sessionManagement()
            .sessionCreationPolicy(SessionCreationPolicy.STATELESS);
        
        http.addFilterBefore(jwtRequestFilter, UsernamePasswordAuthenticationFilter.class);
    }
}

			
				
					
				
					1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
				
						@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
 
    @Autowired
    private JwtRequestFilter jwtRequestFilter;
 
    @Autowired
    private MyUserDetailsService myUserDetailsService;
 
    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(myUserDetailsService);
    }
 
    @Bean
    @Override
    public AuthenticationManager authenticationManagerBean() throws Exception {
        return super.authenticationManagerBean();
    }
 
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
            .authorizeRequests()
            .antMatchers("/auth/**").permitAll()
            .antMatchers("/users/**").hasAuthority("USER")
            .anyRequest().authenticated()
            .and().sessionManagement()
            .sessionCreationPolicy(SessionCreationPolicy.STATELESS);
        
        http.addFilterBefore(jwtRequestFilter, UsernamePasswordAuthenticationFilter.class);
    }
}
 
					
				
			
		


JWT 요청 필터 정의
JWT 요청 필터는 JWT를 검증하기 위해 들어오는 요청을 가로챕니다.




		
		
			
			
Java
			
			@Component
public class JwtRequestFilter extends OncePerRequestFilter {

    @Autowired
    private MyUserDetailsService myUserDetailsService;

    @Autowired
    private JwtUtil jwtUtil;
 
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
            throws ServletException, IOException {

        final String authorizationHeader = request.getHeader("Authorization");

        String username = null;
        String jwt = null;

        if (authorizationHeader != null && authorizationHeader.startsWith("Bearer ")) {
            jwt = authorizationHeader.substring(7);
            username = jwtUtil.extractUsername(jwt);
        }

        if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {

            UserDetails userDetails = this.myUserDetailsService.loadUserByUsername(username);

            if (jwtUtil.validateToken(jwt, userDetails)) {

                UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(
                        userDetails, null, userDetails.getAuthorities());
                usernamePasswordAuthenticationToken
                        .setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
                SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken);
            }
        }
        chain.doFilter(request, response);
    }
}

			
				
					
				
					1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
				
						@Component
public class JwtRequestFilter extends OncePerRequestFilter {
 
    @Autowired
    private MyUserDetailsService myUserDetailsService;
 
    @Autowired
    private JwtUtil jwtUtil;
 
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain)
            throws ServletException, IOException {
 
        final String authorizationHeader = request.getHeader("Authorization");
 
        String username = null;
        String jwt = null;
 
        if (authorizationHeader != null && authorizationHeader.startsWith("Bearer ")) {
            jwt = authorizationHeader.substring(7);
            username = jwtUtil.extractUsername(jwt);
        }
 
        if (username != null && SecurityContextHolder.getContext().getAuthentication() == null) {
 
            UserDetails userDetails = this.myUserDetailsService.loadUserByUsername(username);
 
            if (jwtUtil.validateToken(jwt, userDetails)) {
 
                UsernamePasswordAuthenticationToken usernamePasswordAuthenticationToken = new UsernamePasswordAuthenticationToken(
                        userDetails, null, userDetails.getAuthorities());
                usernamePasswordAuthenticationToken
                        .setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
                SecurityContextHolder.getContext().setAuthentication(usernamePasswordAuthenticationToken);
            }
        }
        chain.doFilter(request, response);
    }
}
 
					
				
			
		


세션 관리 구성
세션 생성 정책을 무상태로 설정하면 서버가 세션 정보를 저장하지 않도록 보장하여 JWT의 무상태 특성과 일치하게 됩니다.




		
		
			
			
Java
			
			.and().sessionManagement()
.sessionCreationPolicy(SessionCreationPolicy.STATELESS);

			
				
					
				
					1
2
3
				
						.and().sessionManagement()
.sessionCreationPolicy(SessionCreationPolicy.STATELESS);
 
					
				
			
		


보안 구성 요약

CSRF 비활성화: JWT는 CSRF 공격에 면역이므로 API의 CSRF 보호를 비활성화하는 것이 일반적입니다.
Auth 엔드포인트에 대한 모든 요청 허용: /auth/login 및 /auth/signup과 같은 인증 엔드포인트에 대한 열린 접근을 허용합니다.
역할/권한 기반 요청 인증: 사용자 역할 또는 권한에 따라 특정 엔드포인트에 대한 접근을 제한합니다.
JWT 필터 추가: JWT 요청 필터를 통합하여 들어오는 요청의 토큰을 검증합니다.
세션 정책을 무상태로 설정: 서버에 세션 데이터가 저장되지 않도록 보장하여 JWT의 무상태 특성을 유지합니다.


Auth Controller 생성
Auth Controller는 로그인 및 토큰 생성을 포함한 사용자 인증 프로세스를 처리합니다. 인증에 성공하면 사용자가 JWT를 획득할 수 있는 진입점 역할을 합니다.
AuthController 구현




		
		
			
			
Java
			
			@RestController
@RequestMapping("/auth")
public class AuthController {

    @Autowired
    private AuthenticationManager authenticationManager;
 
    @Autowired
    private MyUserDetailsService userDetailsService;
 
    @Autowired
    private JwtUtil jwtUtil;

    @PostMapping("/login")
    public ResponseEntity&lt;?&gt; createAuthenticationToken(@RequestBody UserLoginDTO authenticationRequest) throws Exception {
        try {
            authenticationManager.authenticate(
                new UsernamePasswordAuthenticationToken(authenticationRequest.getUsername(), authenticationRequest.getPassword())
            );
        }
        catch (BadCredentialsException e) {
            throw new Exception("Incorrect username or password", e);
        }

        final UserDetails userDetails = userDetailsService
                .loadUserByUsername(authenticationRequest.getUsername());

        final String jwt = jwtUtil.generateToken(userDetails);

        return ResponseEntity.ok(new TokenDTO(jwt));
    }

    @PostMapping("/signup")
    public ResponseEntity&lt;?&gt; signup(@RequestBody AccountDTO accountDTO) {
        // Logic to create a new user
        return ResponseEntity.ok("User registered successfully");
    }
}

			
				
					
				
					1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
				
						@RestController
@RequestMapping("/auth")
public class AuthController {
 
    @Autowired
    private AuthenticationManager authenticationManager;
 
    @Autowired
    private MyUserDetailsService userDetailsService;
 
    @Autowired
    private JwtUtil jwtUtil;
 
    @PostMapping("/login")
    public ResponseEntity&lt;?&gt; createAuthenticationToken(@RequestBody UserLoginDTO authenticationRequest) throws Exception {
        try {
            authenticationManager.authenticate(
                new UsernamePasswordAuthenticationToken(authenticationRequest.getUsername(), authenticationRequest.getPassword())
            );
        }
        catch (BadCredentialsException e) {
            throw new Exception("Incorrect username or password", e);
        }
 
        final UserDetails userDetails = userDetailsService
                .loadUserByUsername(authenticationRequest.getUsername());
 
        final String jwt = jwtUtil.generateToken(userDetails);
 
        return ResponseEntity.ok(new TokenDTO(jwt));
    }
 
    @PostMapping("/signup")
    public ResponseEntity&lt;?&gt; signup(@RequestBody AccountDTO accountDTO) {
        // Logic to create a new user
        return ResponseEntity.ok("User registered successfully");
    }
}
 
					
				
			
		


AuthController 설명

로그인 엔드포인트 (/auth/login):

  - 인증: AuthenticationManager를 사용하여 사용자의 자격 증명을 검증합니다.

  - JWT 생성: 인증에 성공하면 JwtUtil 클래스를 사용하여 JWT를 생성합니다.

  - 응답: TokenDTO 객체에 캡슐화된 JWT를 반환합니다.
회원가입 엔드포인트 (/auth/signup):

  - 사용자 등록: 새로운 사용자를 등록하는 논리를 처리합니다.

  - 응답: 성공적인 등록을 확인합니다.

DTO 클래스들
UserLoginDTO




		
		
			
			
Java
			
			public class UserLoginDTO {
    private String username;
    private String password;

    // Getters and Setters
}

			
				
					
				
					1
2
3
4
5
6
7
				
						public class UserLoginDTO {
    private String username;
    private String password;
 
    // Getters and Setters
}
 
					
				
			
		


TokenDTO




		
		
			
			
Java
			
			public class TokenDTO {
    private String token;

    public TokenDTO(String token) {
        this.token = token;
    }

    // Getter
}

			
				
					
				
					1
2
3
4
5
6
7
8
9
10
				
						public class TokenDTO {
    private String token;
 
    public TokenDTO(String token) {
        this.token = token;
    }
 
    // Getter
}
 
					
				
			
		


AccountDTO




		
		
			
			
Java
			
			public class AccountDTO {
    private String username;
    private String password;
    private String role;

    // Getters and Setters
}

			
				
					
				
					1
2
3
4
5
6
7
8
				
						public class AccountDTO {
    private String username;
    private String password;
    private String role;
 
    // Getters and Setters
}
 
					
				
			
		


인증 예외 처리
인증 예외를 사용자 정의하면 오류 메시지의 명확성이 향상되고 사용자 경험이 개선됩니다.




		
		
			
			
Java
			
			@ControllerAdvice
public class CustomExceptionHandler {

    @ExceptionHandler(BadCredentialsException.class)
    public ResponseEntity&lt;?&gt; handleBadCredentialsException(BadCredentialsException ex) {
        return ResponseEntity.status(HttpStatus.UNAUTHORIZED).body("Invalid username or password");
    }

    @ExceptionHandler(Exception.class)
    public ResponseEntity&lt;?&gt; handleGlobalException(Exception ex) {
        return ResponseEntity.status(HttpStatus.INTERNAL_SERVER_ERROR).body("An error occurred");
    }
}

			
				
					
				
					1
2
3
4
5
6
7
8
9
10
11
12
13
14
				
						@ControllerAdvice
public class CustomExceptionHandler {
 
    @ExceptionHandler(BadCredentialsException.class)
    public ResponseEntity&lt;?&gt; handleBadCredentialsException(BadCredentialsException ex) {
        return ResponseEntity.status(HttpStatus.UNAUTHORIZED).body("Invalid username or password");
    }
 
    @ExceptionHandler(Exception.class)
    public ResponseEntity&lt;?&gt; handleGlobalException(Exception ex) {
        return ResponseEntity.status(HttpStatus.INTERNAL_SERVER_ERROR).body("An error occurred");
    }
}
 
					
				
			
		



사용자 역할 및 권한 관리
사용자 역할 및 권한을 효과적으로 관리하면 사용자가 애플리케이션 내에서 적절한 접근 수준을 가지도록 보장할 수 있습니다. Spring Security는 역할과 권한을 구분하여 리소스 접근에 대한 세밀한 제어를 제공합니다.
역할과 권한의 이해

역할: 사용자에 대한 광범위한 분류 (예: USER, ADMIN). 일반적으로 ROLE_로 접두사가 붙습니다.
권한: 사용자에게 할당된 특정 권한 (예: READ_PRIVILEGES, WRITE_PRIVILEGES).

Spring Security에서 역할 및 권한 구성




		
		
			
			
Java
			
			@Override
protected void configure(HttpSecurity http) throws Exception {
    http.csrf().disable()
        .authorizeRequests()
        .antMatchers("/auth/**").permitAll()
        .antMatchers("/admin/**").hasAuthority("ADMIN")
        .antMatchers("/users/**").hasAuthority("USER")
        .anyRequest().authenticated()
        .and().sessionManagement()
        .sessionCreationPolicy(SessionCreationPolicy.STATELESS);
    
    http.addFilterBefore(jwtRequestFilter, UsernamePasswordAuthenticationFilter.class);
}

			
				
					
				
					1
2
3
4
5
6
7
8
9
10
11
12
13
14
				
						@Override
protected void configure(HttpSecurity http) throws Exception {
    http.csrf().disable()
        .authorizeRequests()
        .antMatchers("/auth/**").permitAll()
        .antMatchers("/admin/**").hasAuthority("ADMIN")
        .antMatchers("/users/**").hasAuthority("USER")
        .anyRequest().authenticated()
        .and().sessionManagement()
        .sessionCreationPolicy(SessionCreationPolicy.STATELESS);
    
    http.addFilterBefore(jwtRequestFilter, UsernamePasswordAuthenticationFilter.class);
}
 
					
				
			
		


사용자에게 역할 할당하기
사용자 계정을 생성하거나 업데이트할 때 적절한 역할을 할당합니다.




		
		
			
			
Java
			
			public Account createNewUser(AccountDTO accountDTO) {
    Account account = new Account();
    account.setUsername(accountDTO.getUsername());
    account.setPassword(passwordEncoder.encode(accountDTO.getPassword()));
    account.setRoles(Arrays.asList(new Role(accountDTO.getRole())));
    return accountRepository.save(account);
}

			
				
					
				
					1
2
3
4
5
6
7
8
				
						public Account createNewUser(AccountDTO accountDTO) {
    Account account = new Account();
    account.setUsername(accountDTO.getUsername());
    account.setPassword(passwordEncoder.encode(accountDTO.getPassword()));
    account.setRoles(Arrays.asList(new Role(accountDTO.getRole())));
    return accountRepository.save(account);
}
 
					
				
			
		


초기 데이터 구성
초기 데이터는 미리 정의된 사용자 및 역할로 데이터베이스를 초기화합니다.




		
		
			
			
Java
			
			@Component
public class SeedData implements CommandLineRunner {

    @Autowired
    private AccountRepository accountRepository;

    @Autowired
    private PasswordEncoder passwordEncoder;

    @Override
    public void run(String... args) throws Exception {
        Account admin = new Account();
        admin.setUsername("admin");
        admin.setPassword(passwordEncoder.encode("admin123"));
        admin.setRoles(Arrays.asList(new Role("ADMIN")));

        Account user = new Account();
        user.setUsername("user");
        user.setPassword(passwordEncoder.encode("user123"));
        user.setRoles(Arrays.asList(new Role("USER")));

        accountRepository.save(admin);
        accountRepository.save(user);
    }
}

			
				
					
				
					1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
				
						@Component
public class SeedData implements CommandLineRunner {
 
    @Autowired
    private AccountRepository accountRepository;
 
    @Autowired
    private PasswordEncoder passwordEncoder;
 
    @Override
    public void run(String... args) throws Exception {
        Account admin = new Account();
        admin.setUsername("admin");
        admin.setPassword(passwordEncoder.encode("admin123"));
        admin.setRoles(Arrays.asList(new Role("ADMIN")));
 
        Account user = new Account();
        user.setUsername("user");
        user.setPassword(passwordEncoder.encode("user123"));
        user.setRoles(Arrays.asList(new Role("USER")));
 
        accountRepository.save(admin);
        accountRepository.save(user);
    }
}
 
					
				
			
		


다중 권한 처리
사용자는 다중 권한을 가질 수 있어 유연한 접근 제어를 제공합니다.




		
		
			
			
Java
			
			@Override
protected void configure(HttpSecurity http) throws Exception {
    http.csrf().disable()
        .authorizeRequests()
        .antMatchers("/auth/**").permitAll()
        .antMatchers("/reports/**").hasAnyAuthority("USER", "ADMIN")
        .anyRequest().authenticated()
        .and().sessionManagement()
        .sessionCreationPolicy(SessionCreationPolicy.STATELESS);
    
    http.addFilterBefore(jwtRequestFilter, UsernamePasswordAuthenticationFilter.class);
}

			
				
					
				
					1
2
3
4
5
6
7
8
9
10
11
12
13
				
						@Override
protected void configure(HttpSecurity http) throws Exception {
    http.csrf().disable()
        .authorizeRequests()
        .antMatchers("/auth/**").permitAll()
        .antMatchers("/reports/**").hasAnyAuthority("USER", "ADMIN")
        .anyRequest().authenticated()
        .and().sessionManagement()
        .sessionCreationPolicy(SessionCreationPolicy.STATELESS);
    
    http.addFilterBefore(jwtRequestFilter, UsernamePasswordAuthenticationFilter.class);
}
 
					
				
			
		


요약

역할 및 권한: 광범위한 접근을 위해 역할을 사용하고, 특정 권한을 위해 권한을 사용합니다.
할당: 사용자 생성 또는 업데이트 시 역할 및 권한을 할당합니다.
구성: 역할 및 권한을 기반으로 보안 구성에서 접근 규칙을 정의합니다.
유연성: 복잡한 접근 제어 요구 사항을 충족하기 위해 다중 권한을 구현합니다.


보안 예외 처리
보안 예외를 적절하게 처리하면 애플리케이션의 강건성이 향상되며, 사용자에게 명확한 피드백을 제공하고 애플리케이션의 무결성을 유지할 수 있습니다.
일반적인 보안 예외들

401 Unauthorized: 요청에 유효한 인증 자격 증명이 없음을 나타냅니다.
403 Forbidden: 서버가 요청을 이해했지만 승인하기를 거부함을 나타냅니다.

예외 응답 사용자 정의




		
		
			
			
Java
			
			@ControllerAdvice
public class CustomExceptionHandler {

    @ExceptionHandler(UnauthorizedException.class)
    public ResponseEntity&lt;?&gt; handleUnauthorizedException(UnauthorizedException ex) {
        return ResponseEntity.status(HttpStatus.UNAUTHORIZED).body("Please check your access token");
    }

    @ExceptionHandler(ForbiddenException.class)
    public ResponseEntity&lt;?&gt; handleForbiddenException(ForbiddenException ex) {
        return ResponseEntity.status(HttpStatus.FORBIDDEN).body("Insufficient scope or permissions");
    }
}

			
				
					
				
					1
2
3
4
5
6
7
8
9
10
11
12
13
14
				
						@ControllerAdvice
public class CustomExceptionHandler {
 
    @ExceptionHandler(UnauthorizedException.class)
    public ResponseEntity&lt;?&gt; handleUnauthorizedException(UnauthorizedException ex) {
        return ResponseEntity.status(HttpStatus.UNAUTHORIZED).body("Please check your access token");
    }
 
    @ExceptionHandler(ForbiddenException.class)
    public ResponseEntity&lt;?&gt; handleForbiddenException(ForbiddenException ex) {
        return ResponseEntity.status(HttpStatus.FORBIDDEN).body("Insufficient scope or permissions");
    }
}
 
					
				
			
		


예외 처리를 위한 보안 구성 업데이트




		
		
			
			
Java
			
			@Override
protected void configure(HttpSecurity http) throws Exception {
    http.csrf().disable()
        .authorizeRequests()
        .antMatchers("/auth/**").permitAll()
        .antMatchers("/admin/**").hasAuthority("ADMIN")
        .antMatchers("/users/**").hasAuthority("USER")
        .anyRequest().authenticated()
        .and()
        .exceptionHandling()
        .authenticationEntryPoint((request, response, authException) -> {
            response.sendError(HttpServletResponse.SC_UNAUTHORIZED, "Please check your access token");
        })
        .accessDeniedHandler((request, response, accessDeniedException) -> {
            response.sendError(HttpServletResponse.SC_FORBIDDEN, "Insufficient scope or permissions");
        })
        .and().sessionManagement()
        .sessionCreationPolicy(SessionCreationPolicy.STATELESS);
    
    http.addFilterBefore(jwtRequestFilter, UsernamePasswordAuthenticationFilter.class);
}

			
				
					
				
					1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
				
						@Override
protected void configure(HttpSecurity http) throws Exception {
    http.csrf().disable()
        .authorizeRequests()
        .antMatchers("/auth/**").permitAll()
        .antMatchers("/admin/**").hasAuthority("ADMIN")
        .antMatchers("/users/**").hasAuthority("USER")
        .anyRequest().authenticated()
        .and()
        .exceptionHandling()
        .authenticationEntryPoint((request, response, authException) -> {
            response.sendError(HttpServletResponse.SC_UNAUTHORIZED, "Please check your access token");
        })
        .accessDeniedHandler((request, response, accessDeniedException) -> {
            response.sendError(HttpServletResponse.SC_FORBIDDEN, "Insufficient scope or permissions");
        })
        .and().sessionManagement()
        .sessionCreationPolicy(SessionCreationPolicy.STATELESS);
    
    http.addFilterBefore(jwtRequestFilter, UsernamePasswordAuthenticationFilter.class);
}
 
					
				
			
		


보안 응답을 통한 Swagger 문서 향상
Swagger를 사용하여 API를 문서화할 때, 보안 관련 응답을 포함하여 사용자에게 발생할 수 있는 오류 상태를 알립니다.




		
		
			
			
Java
			
			@Operation(summary = "List all users", responses = {
    @ApiResponse(responseCode = "200", description = "Successfully retrieved list"),
    @ApiResponse(responseCode = "401", description = "Unauthorized - Please check your access token"),
    @ApiResponse(responseCode = "403", description = "Forbidden - Insufficient scope or permissions")
})
@GetMapping("/users")
public List&lt;User&gt; getAllUsers() {
    return userService.getAllUsers();
}

			
				
					
				
					1
2
3
4
5
6
7
8
9
10
				
						@Operation(summary = "List all users", responses = {
    @ApiResponse(responseCode = "200", description = "Successfully retrieved list"),
    @ApiResponse(responseCode = "401", description = "Unauthorized - Please check your access token"),
    @ApiResponse(responseCode = "403", description = "Forbidden - Insufficient scope or permissions")
})
@GetMapping("/users")
public List&lt;User&gt; getAllUsers() {
    return userService.getAllUsers();
}
 
					
				
			
		


예외 처리 요약

명확한 메시지: 다양한 예외 유형에 대해 사용자 친화적인 오류 메시지를 제공합니다.
중앙 집중식 처리: @ControllerAdvice를 사용하여 전역적으로 예외를 관리합니다.
Swagger 통합: API 문서화 시 발생할 수 있는 보안 예외를 문서화합니다.
보안 유지: 오류 메시지를 통해 민감한 정보가 노출되는 것을 방지합니다.


보안된 API 테스트
보안 구성이 의도대로 작동하는지 확인하는 것은 매우 중요합니다. 이 섹션에서는 인증 및 권한 부여 메커니즘을 검증하기 위한 테스트 전략을 다룹니다.
인증 흐름 테스트

무단 접근 시도:

  - 액션: 토큰 없이 보안된 엔드포인트에 접근합니다.

  - 기대 결과: 401 Unauthorized 응답을 받습니다.
유효한 자격 증명으로 로그인:

  - 액션: 유효한 자격 증명을 사용하여 /auth/login에 POST 요청을 보냅니다.

  - 기대 결과: 응답으로 JWT를 받습니다.
무효한 자격 증명으로 로그인:

  - 액션: 무효한 자격 증명을 사용하여 /auth/login에 POST 요청을 보냅니다.

  - 기대 결과: 오류 메시지가 포함된 401 Unauthorized 응답을 받습니다.

권한 부여 흐름 테스트

유효한 토큰으로 접근:

  - 액션: 받은 JWT를 사용하여 보안된 엔드포인트에 접근합니다.

  - 기대 결과: 적절한 데이터와 함께 성공적으로 접근합니다.
무효한 토큰으로 접근:

  - 액션: 무효하거나 조작된 JWT를 사용합니다.

  - 기대 결과: 401 Unauthorized 응답을 받습니다.
권한이 부족한 토큰으로 접근:

  - 액션: 필요한 권한이 없는 JWT를 사용하여 제한된 엔드포인트에 접근합니다.

  - 기대 결과: 403 Forbidden 응답을 받습니다.

Swagger를 사용한 테스트
Swagger UI는 API를 대화형으로 테스트할 수 있는 훌륭한 도구입니다.

토큰 생성:

  - /auth/login 엔드포인트로 이동합니다.

  - 유효한 자격 증명을 제공하여 JWT를 받습니다.
Swagger에서 인증:

  - Swagger에서 "Authorize" 버튼을 클릭합니다.

  - JWT를 Bearer <token> 형식으로 입력합니다.
보안된 엔드포인트 접근:

  - /users 또는 /admin과 같은 엔드포인트에 접근을 시도합니다.

  - 토큰의 유효성과 권한에 따른 응답을 관찰합니다.

Postman을 사용한 자동화 테스트
Postman은 API 테스트를 자동화하고 간소화할 수 있습니다.

컬렉션 설정:

  - 로그인, 보안된 엔드포인트 접근 등을 위한 요청을 생성합니다.
환경 변수 사용:

  - 요청 간에 토큰을 저장하고 재사용합니다.
응답 검증:

  - 다양한 시나리오에 대한 기대 응답을 정의합니다.

테스트를 위한 샘플 코드 스니펫
무단 접근 테스트




		
		
			
			
Java
			
			curl -X GET http://localhost:8080/users

			
				
					
				
					1
2
				
						curl -X GET http://localhost:8080/users
 
					
				
			
		


기대 응답:




		
		
			
			
Java
			
			401 Unauthorized - Please check your access token

			
				
					
				
					1
2
				
						401 Unauthorized - Please check your access token
 
					
				
			
		


인가된 접근 테스트




		
		
			
			
Java
			
			curl -X GET http://localhost:8080/users -H "Authorization: Bearer &lt;valid_token&gt;"

			
				
					
				
					1
2
				
						curl -X GET http://localhost:8080/users -H "Authorization: Bearer &lt;valid_token&gt;"
 
					
				
			
		


기대 응답:




		
		
			
			
Java
			
			[
    {
        "id": 1,
        "username": "user1",
        "email": "user1@example.com"
    },
    {
        "id": 2,
        "username": "admin",
        "email": "admin@example.com"
    }
]

			
				
					
				
					1
2
3
4
5
6
7
8
9
10
11
12
13
				
						[
    {
        "id": 1,
        "username": "user1",
        "email": "user1@example.com"
    },
    {
        "id": 2,
        "username": "admin",
        "email": "admin@example.com"
    }
]
 
					
				
			
		


요약

포괄적인 테스트: 인증 및 권한 부여 흐름을 모두 검증합니다.
도구를 효과적으로 사용: Swagger와 Postman을 활용하여 테스트를 용이하게 합니다.
가능한 경우 자동화: 일관된 보안 검사를 보장하기 위해 자동화된 테스트를 구현합니다.
응답 모니터링: 응답이 예상된 보안 동작과 일치하는지 확인합니다.


결론
API 보안은 현대 애플리케이션 개발의 기본적인 측면으로, 민감한 데이터를 보호하고 권한이 부여된 사용자만이 보호된 리소스에 접근할 수 있도록 보장합니다. Spring Security와 JWT 기반 토큰 인증을 통합함으로써 개발자들은 Spring Boot 애플리케이션에서 강력하고 확장 가능하며 효율적인 보안 메커니즘을 구현할 수 있습니다.
이 전자책을 통해 우리는 Spring Security의 기초 개념, JWT 인증의 메커니즘, 보안 설정 구성의 복잡성, 사용자 역할 및 권한 관리, 보안 예외 처리, 그리고 보안된 API의 효과적인 테스트 방법을 탐구했습니다. 각 구성 요소는 안전한 API 생태계를 구축하는 데 중요한 역할을 합니다.
핵심 요점

Spring Security 통합: Spring Boot과 매끄럽게 통합되어 포괄적인 보안 기능을 제공합니다.
JWT 인증: 사용자 인증 및 권한 부여를 처리하기 위한 무상태이며 확장 가능한 방법을 제공합니다.
역할 및 권한 관리: 사용자 권한 및 접근 수준에 대한 세밀한 제어를 가능하게 합니다.
예외 처리: 보안 관련 오류를 우아하고 정보성 있게 관리합니다.
철저한 테스트: 보안 구현의 효과를 검증하여 잠재적 취약점을 방지합니다.

애플리케이션이 계속해서 발전함에 따라, 보안 조치를 유지하고 강화하는 것은 지속적인 노력으로 남아 있습니다. 모범 사례, 새로운 위협, 혁신적인 솔루션에 대한 정보를 지속적으로 습득하는 것은 안전하고 신뢰할 수 있는 애플리케이션을 구축하는 데 전념하는 개발자에게 필수적입니다.
실천 요청
이 전자책에 설명된 보안 전략을 구현하여 개발 워크플로를 강화하세요. Spring Security와 JWT를 Spring Boot 프로젝트에 통합하는 것으로 시작하고, 변화하는 도전에 적응하기 위해 보안 자세를 지속적으로 개선하세요. 추가 학습을 위해 OAuth2 통합, 다중 인증, 보안 감사와 같은 고급 주제를 탐구하여 API 보안에 대한 전문 지식을 심화하세요.

참고: 이 기사는 AI에 의해 생성되었습니다.
주제	설명
Spring Security	Spring Boot 프로젝트에서 Spring Security의 개요 및 설정
JWT Authentication	토큰 기반 인증의 이해 및 구현
Security Configurations	API의 보안 설정 구성
Auth Controller	인증 프로세스를 처리하는 컨트롤러 생성
User Roles and Authorities	사용자 역할 및 권한 관리
Security Exceptions	보안 예외 처리 및 사용자 정의
Testing Secured APIs	보안 조치가 의도대로 작동하는지 확인