[Spring Boot] Spring Security

📌 인증 Authentication

• 사이트에 접근하는 사람이 누구인지 시스템이 알기 위한 방식. 익명 사용자 anonymous user 를 허용하는 경우도 있지만 특정 리소스에 접근하거나 개인화된 사용성을 보장 받기 위해서는 반드시 로그인 하는 과정이 필요하다. 
• 로그인은 보통 username/ password를 입력하고 로그인 하는 경우와 sns 사이트를 통해 인증을 대리하는 경우가 있다.

 

 

📌 인가 혹은 권한  Autnorization

• 사용자가 누구인지 알았다면 사이트 관리자 혹은 시스템은 로그인한 사용자가 어떤 일을 할 수 있는지 권한을 설정한다. 권한은 특정 페이지에 접근하거나 특정 리소스에 접근할 수 있는 권한 여부를 판단하는데 사용된다. 
• 개발자는 권한이 있는 사용자에게만 페이지나 리소스 접근을 허용하도록 코딩해야 하는데, 이런 코드를 쉽게 작성할 수 있도록 프레임워크를 제족하는 것이 Spring Security Framework다. 

 

• 해당 사용자가 어떤 권한을 확인하고 싶을 때,

@GetMapping("/auth")
public Authentication auth( ){
     return SecurityContextHolder.getContext( ).getAuthentication( );

}

 

 

• 웹사이트의 개인 정보에 대해 시뮬레이션 해보면, 우선 controller 와 SecurityMessage를 띄워줄 클래스

시뮬레이션

• SecurityMessage에서 auth에 대한 정보를 Authentication 형으로 지정한다. 
• @PreAuthorize로 hasAnyAuthority 'ROLE_UESR' , 'ROLE_ADMIN'을 나누었다. 
• 하지만, 이 방식이라면 user1이 admin에도 들어갈 수 있다. 이걸 security에서 어떻게 차단하느냐..                Configurer를 사용한다.

 

 

inMemoryAuthentication을 이용한 Configurer 

 

• WebSecurityConfigurerAdepter 를 상속받아 Config 클래스를 만든다. 
• 기존에 application.properties에 사용자 한명을 추가했기에 더 추가할 수 없다.
• 해당 SecurityConfig 에서 사용자를 더 추가한다. 이렇게 되면  application.properties에 추가했던 사용자는 차단된다.
• 사용자의 패스워드를 인코딩해야 오류가 나지 않는다.
• HOME Page 같은 경우는 모두에게 public하게 접근권한을 주고 싶기 때문에 request.antMatchers로 ("/") 홈페이지에 대해 permitAll()을 지정해준다.