<aside> 💡

진행 순서

1. 의존성 설치
2. SecurityFilterChain설정 빈 등록
3. UserDetails 구현
4. UserDetailsService 구현
5. UserDetailsService Bean 등록
6. 커스텀 로그인 서비스, 컨트롤러 구현

extra. 인메모리 사용법

</aside>

Member라는 가상의 엔티티가 존재하고, email이 식별자인 경우이다.

✅ 세션 기반 로그인 흐름

1. 사용자가 로그인 폼에서 POST /login 요청을 보냄
2. Spring Security의 **UsernamePasswordAuthenticationFilter(기본?)**가 요청을 가로챔
3. DaoAuthenticationProvider가 UserDetailsService를 이용해 사용자 인증 수행
4. 인증 성공 시 세션을 생성하고(JSESSIONID 발급), defaultSuccessUrl("/")으로 이동
5. 인증된 사용자는 세션을 통해 계속 로그인 상태 유지

1. 의존성 설치

    implementation 'org.springframework.boot:spring-boot-starter-security'
    implementation 'org.springframework.boot:spring-boot-starter-web'
    implementation 'org.springframework.boot:spring-boot-starter-thymeleaf'

1. SecurityFilterChain설정 빈 등록

@Configuration
@EnableWebSecurity
public class SecurityConfig {
    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http
            .authorizeHttpRequests(auth -> auth
                .requestMatchers("/login", "/resources/**").permitAll()
                .anyRequest().authenticated() // 그외 모든 곳은 인
            )
            .formLogin(login -> login
                .loginPage("/login") // 커스텀 로그인 페이지
                .defaultSuccessUrl("/home", true) // 로그인 성공시 url
                .permitAll()
            )
            .csrf(csrf -> csrf.disable())  // CSRF 보호 비활성화
            .logout(logout -> logout
                .logoutUrl("/logout") // 로그아웃 엔트포인트
                .logoutSuccessUrl("/login?logout") // 로그아웃 성공시 url
                .invalidateHttpSession(true) // 세션 무효화
                .deleteCookies("JSESSIONID") // 쿠키 삭제
                .permitAll()
            )
            .sessionManagement(session -> session
                .sessionCreationPolicy(SessionCreationPolicy.ALWAYS) // 기본 세션 설정
            );
        return http.build();
    }
}

• 시큐리티 설정 Configuration 클래스는 @EnableWebSecurity가 반드시 필요하다.

• authorizeHttpRequest설정, 인증, 인가 요청 정책 정의, 접근 제어, url과 매치시킨다. 적용순서는 상단부터 FilterSecurityInterceptor를 구성한다.

  • requestMachters() : 특정 경로 선택자
  • anyRequest() : 나머지 모든 경로 선택자
  • hasAnyRole : 롤 여러가지 설정
  • hasRole : 특정한 롤이 있어여 경로 접근허용
  • permitAll : 모든사용자 허용
  • authenticated : 로그인만 하면 접근 허용
  • denyAll : 모든 사용자 접근 거부
  • anonymous

• formLogin으로 커스텀 login 페이지를 등록한다. 로그인 성공시에 defualtSucessUrl에서 설정한 페이지로 이동한다.

  • 만약 컨트롤러도 리디렉션이 있다면, 시큐리티에서 설정한 곳에 들렸다가 컨트롤러가 지정한 곳으로 이동한다.
  • 로그인 성공 시, 직전 페이지로 이동하는 법
  • alwaysUse 파라미터로 해당 url을 항상사용하거나, 직전페이지로 이동하게 할 수 있다.
  • .loginProcessingUrl("/login") : Security가 /login을 자동 처리, Post /login 요청이 무시됨
  • 직접 로직 구현이 필요한경우 .requestMatchers(HttpMethod.POST, "/login").permitAll() // 내가 만든 로그인 API 허용

  .formLogin(login -> login
      .loginPage("/login")
      .defaultSuccessUrl("/home", false) // 이전 페이지가 있으면 그대로, 없으면 "/home"으로 이동
  )
  
  

  커스텀 핸들러 사용

  .formLogin(login -> login
      .loginPage("/login")
      .successHandler((request, response, authentication) -> {
          response.sendRedirect("/custom-success"); // 로그인 성공 후 특정 URL로 이동
      })
  )
  
  

• logout 설정으로, 로그아웃과 로그아웃 후 url 설정

  • .permitAll은 로그인 하지 않은 사용자도 로그아웃 요청 가능해야하므로?

• sessionManagement으로 세션 생성 정책 설정

  • SessionCreationPolicy.ALWAYS :
    • 요청을 보내면 무조건 세션을 생성(로그인 하지않아도)
    • ex) 비로그인 장바구니… 서버렌더 링 웹 어플리케이션..
  • SessionCreationPolicy.IF_REQUIRED :
    • 필요할 때(로그인하면)만 생성, 인증이 필요없다면 세션을 생성하지 않음
    • ex)일반적 웹앱(Spring MVC + 로그인 기능)
  • SessionCreationPolicy.NEVER :
    • 시큐리티가 세션을 직접 생성하지 않음. 하지만, 기존에 만들어진 세션이 있다면 그대로 사용 가능
    • 토큰 기반 인증 + 일부 기능에서만 세션 필요
    • ex) Spring MVC + OAuth 로그인
  • SessionCreationPolicy.STATELESS :
    • 세션을 아예 생성하지 않고, 기존 세션도 사용하지 않음
    • REST API, JWT 인증 방식에서 주로 사용
    • JWT + REST API (각 요청마다 토큰을 매번 검증하므로 세션이 불필요)
    • 완전히 상태를 유지하지 않는 API 서버