🏆 2024

맛집 분야 크리에이터

🏆 2023

IT 분야 크리에이터

👩‍❤️‍👨 구독자 수

182

✒️ 게시글 수

0
https://tistory1.daumcdn.net/tistory/4631271/skin/images/blank.png 네이버블로그

🩷 방문자 추이

오늘

어제

전체

🏆 인기글 순위

티스토리 뷰

프로그래밍/Java

[springboot] 토큰을 이용한 사용자인증 및 로그아웃 구현하기 (spring security 이용)

돔돔이 2023. 12. 22. 13:05
728x90
반응형

 

 

 

 

spring security를 이용한 사용자인증 및 로그인 기능을 구현하는 방법에 대해서 작성해봅니다.

spring security에 대한 내용은 아래 포스팅 2개를 참고하세요.

 

[springboot] spring security로 DB 사용자권한별 페이지접속제한하기

https://domdom.tistory.com/656

 

[springboot] spring security로 DB 사용자권한별 페이지접속제한하기

먼저, 로그인 페이지를 만들어줍니다. 컨트롤러에 로그인 페이지를 생성해주세요. // Controller @RequestMapping("/login") public String login() throws Exception { return "login"; } 연결된 로그인 html파일에는 다음과

domdom.tistory.com

 

[java] spring security 로그아웃기능 만들기 (+자동로그아웃)

https://domdom.tistory.com/660

 

[java] spring security 로그아웃기능 만들기 (+자동로그아웃)

예전에 spring security로 로그인, 사용자권한별 페이지접속에 대해서 글을 적은적이 있는데요. 이번에는 로그아웃 기능을 만들고, 아래와 같이 3가지 기능을 추가해보려고 합니다. 1. 로그아웃버튼

domdom.tistory.com

 

 

 

 

토큰을 이용해 사용자인증 및 로그아웃하는 방법에 대한 내용입니다.

먼저 springSecurity에 아래 내용을 추가해줍니다.

addFIlterBefore는 사용자접속 시 우선적으로 처리해줄 메소드를 추가해주는 것입니다.

userDetailsFromToken 메소드에서 토큰을 체크할 것입니다.

토큰없이 들어온 사용자이거나, 토큰값 에러 시 이동할 /error 페이지는 모두 접속가능하도록 설정해줍니다.

 

http
	.addFilterBefore(new UserDatilsFromToken(), UsernamePasswordAuthenticationFilter.class)

	.authorizeRequests()
		.antMatchers("/error").permitAll() // 로그인안해도 사용 가능

 

 

 

 

토큰 확인하는 페이지("/")와 로그아웃페이지("/logout")는 POST로 데이터를 전송받기 때문에 

csrf 인증을 무시하도록 설정해주었구요.

토큰을 이용하여 사용자인증을 진행할 것이기에 .formLogin().disable()로 로그인 기능을 없애줍니다.

이를 disable 해주지않으면 사이트접속 시 로그인페이지가 뜨게됩니다.

 

	.and()
    	.csrf().ignoringAntMatchers("/", "/logout") // 접속 시 SSO 토큰 받을 때는 CSRF 보호 비활성화

	.and()
    	.formLogin().disable() // 로그인기능없음 (SSO 토큰이용)

 

 

 

로그아웃 관련 설정을 추가합니다.

그리고  토큰 인증으로 사용자가 인증된 후 로그아웃을 하면 토큰확인페이지("/")로 이동되도록 설정해주었습니다.

 

        .logout()
            .logoutUrl("/logout")  // 로그아웃 처리 URL
            .logoutSuccessUrl("/")  // 로그아웃 성공 후 리다이렉트할 URL
            .invalidateHttpSession(true)  // 세션 무효화
            .deleteCookies("JSESSIONID"); // 쿠키 제거

 

 

 

그리고나서, 토큰 인증 메소드를 구현해줍니다.

deoFilterInternal 메소드는 사용자가 어느 페이지에 접속을 하든 무조건 실행됩니다.

따라서 토큰인증을 진행하지 않아도 되는 페이지들은 예외처리를 해주고,

토큰을 통해 사용자를 인증하는 코드를 작성해주시면 됩니다.

 

 

@Service
public class UserDatilsFromToken extends OncePerRequestFilter{
@Override
	protected void doFilterInternal(
			HttpServletRequest request,
			HttpServletResponse response,
			FilterChain filterChain
			) throws IOException, ServletException {
		
		// 특정 페이지에서는 토큰확인절차 없이 바로 페이지로 이동
		if (request.getRequestURI().startsWith("/error") // 에러페이지로 이동했따던지 
				|| request.getRequestURI().equals("/logout")) // 로그아웃페이지로 이동했다던지
		{ 
			filterChain.doFilter(request, response);
			return;
		}
		// 이미 인증된 사용자이면 토큰확인절차 패스
		if (SecurityContextHolder.getContext().getAuthentication() != null
				&& SecurityContextHolder.getContext().getAuthentication().isAuthenticated()) {
			filterChain.doFilter(request, response);
		}
		
		// 접속된 URL 출력
		System.out.println("접속URL : "+ request.getRequestURI());
		
		// 전송받은 토큰
		String token = request.getParameter("token");
		
		// 토큰없이 들어왔다면 에러페이지로 이동시킴
		if (token == null) {
			response.sendRedirect("/error");
			return;
		}else{
			// 토큰정보 인증
			UserDetails userdetails = loadUserByToken(token);
			if (userdetails != null) {
				// 인증 성공 시, SecurityCOntextHolder에 인증 정보 설정
				UsernamePasswordAuthenticationToken authentication = 
						new UsernamePasswordAuthenticationToken(userdetails, null, userdetails.getAuthorities());
				SecurityContextHolder.getContext().setAuthentication(authentication);
			}
		}
		
	}
	
	// 토큰을 이용한 사용자 정보 인증
	public UserDetails loadUserByToken(String token) {

		// 토큰을 이용해 사용자 정보를 불러온다
		....
		return new org.springframework.security.core.userdetails.User(
				.... );
	}

}

 

 

 

이제 서버를 실행시키고 테스트를 해봅니다.

저는 터미널로 curl 명령어를 통해 인증 테스트를 진행했습니다.

 

curl 명령어로 수행된 HTTP 요청들은 서로 독립적이라서, 

한 curl 요청에서 수행된 인증 상태(예: 로그인)는 다른 curl 요청에 자동으로 전달되거나 유지되지 않습니다.
첫 번째 curl -i -X POST http://localhost/ -d token=test 요청에서 인증이 완료되었다 하더라도,

이후의 curl -i -X GET http://localhost/ 요청은 이전 요청과는 완전히 별개로 처리됩니다.

 

따라서, 두 번째 요청은 인증 상태를 "알지 못합니다".

curl로 상태를 유지하려면 다음과 같은 방법을 사용할 수 있습니다:

# 쿠키 저장
curl -c cookies.txt -X POST http://localhost/ -d token=test

# 저장된 쿠키 사용
curl -b cookies.txt -i -X GET http://localhost/

 

 

사용자가 토큰없이 접속했다면 token은 null값으로 들어오게 되구요.

 

 

 

 

정상적으로 토큰값을 입력받았다면 토큰값 처리 후 사용자 인증이 진행됩니다.

아래와 같이 200 OK가 뜨면서 쿠키값이 나왔다면 성공!

 

 

 

 

 

실행 경로 폴더에 cookies.txt가 자동으로 저장됩니다.

 

 

 

 

사용자인증된 쿠키를 사용해 로그아웃까지 진행해봅니다.

로그아웃도 마찬가지로 POST로 전달해야합니다.

로그아웃 시 302 Found가 뜨는 이유는,

로그아웃이 된 후  "/"페이지로 이동되었기 떄문입니다. (Location: http://localhost/ )

 

 

 

 

spring security로 SSO토큰을 통해 사용자인증 및 로그아웃 하는 방법에 대해 알아보았습니다.

끝!

 

 

 

 

728x90
반응형
저작자표시 비영리 변경금지

'프로그래밍 > Java' 카테고리의 다른 글

[intellij] java spring project 실행시 JCTree qualid 관련 오류 해결  (3) 2024.04.11
[오류해결] java.lang.NullPointerException: Cannot invoke "service..." because "this.service" is null 에러  (37) 2024.01.10
[spring boot] Java EE에서 Jakarta EE로의 전환  (48) 2023.12.06
[spring boot] WAS를 JBoss(wildfly) 사용한 개발환경 만들기-2  (43) 2023.12.05
[spring boot] WAS를 JBoss(wildfly) 사용한 개발환경 만들기-1  (21) 2023.12.02
댓글