Chp5. 스프링 시큐리티와 OAuth 2.0으로 로그인 기능 구현하기

스프링 시큐리티(Spring Security)는 막강한 인증(Authentication)과 인가(Authorization) (혹은 권한 부여) 기능을 가진 프레임워크입니다. 사실상 스프링 기반의 애플리케이션에서는 보안을 위한 표준이라고 보면 됩니다. 

 

인터셉터, 필터 기반의 보안 기능을 구현하는 것보다 스프링 시큐리티를 통해 구현하는 것을 적극적으로 권장하고 있습니다. 

 

스프링의 대부분 프로젝트들(Mvc, Data, Batch 등등)처럼 확장성을 고려한 프레임워크다 보니 다양한 요구사항을 손쉽게 추가하고 변경할 수 있습니다. 이런 손쉬운 설정은 특히나 스프링 부트 1.5에서 2.0으로 넘어오면서 더욱 더 강력해졌습니다. 

 

이번 장에서는 스프링 시큐리티와 OAuth 2.0을 구현한 구글 로그인을 연동하여 로그인 기능을 만들어 보겠습니다.

 

5.1 스프링 시큐리티와 스프링 시큐리티 Oauth2 클라이언트 

 

5.2 구글 서비스 등록 

먼저 구글 서비스에 신규 서비스를 생성합니다.

여기서 발급된 인증 정보(clientId와 clientSecret)를 통해서 로그인 기능과 소셜 서비스 기능을 사용할 수 있으니 무조건 발급받고 시작해야 합니다. 

구글 클라우드 플랫폼 주소 (https://console.cloud.google.com/) 로 이동합니다

구글 플랫폼 프로젝트 선택

새 프로젝트 선택

새프로젝트 이름

설정 페이지 이동

사용자 인증 정보 선택 화면

OAuth 클라이언트 ID

동의 화면 구성

동의 화면 관리

• 애플리케이션 이름 : 구글 로그인 사용자에게 노출될 애플리케이션 이름을 이야기합니다
• 지원 이메일 : 사용자 동의 화면에서 노출될 이메일 주소입니다. 보통은 서비스의 help 이메일 주소를 사용하지만, 여기서는 독자의 이메일 주소를 사용하시면 됩니다.
• Google API의 범위 : 이번에 등록할 구글 서비스에서 사용할 범위 목록입니다. 기본값은 email/profile/openid이며, 여기서는 딱 기본 범위만 사용합니다. 이외 다른 정보들도 사용하고 싶다면 범위 추가 버튼으로 추가하면 됩니다. 

동의 화면 구성이 끝났으면 화면 제일 아래에 저장 버튼을 클릭하고 다음 그림과 같이 OAuth 클라이언트 ID 만들기 화면으로 바로 이동합니다. 프로젝트 이름을 등록합니다.

화면 아래로 내려가면 다음과 같이 URL 주소를 등록해야 합니다

여기서 [승인된 리디렉션 URI] 항목만 그림과 같이 값을 등록합니다 

승인된 리디렉션 URI

• 서비스에서 파라미터로 인증 정보를 주었을 때 인증이 성공하면 구글에서 리다이렉트할 URL입니다
• 스프링 부트 2 버전의 시큐리티에서는 기본적으로 {도메인}/login/oauth2/code/{소셜서비스코드}로 리다이렉트 URL을 지원하고 있습니다
• 사용자가 별도로 리다이렉트 URL을 지원하는 Controller를 만들 필요가 없습니다. 시큐리티에서 이미 구현해 놓은 상태입니다
• 현재는 개발 단계이므로 http://localhost:8080/login/oauth2/code/google로만 등록합니다
• AWS 서버에 배포하게 되면 localhost 외에 추가로 주소를 추가해야하며, 이건 이후 단계에서 진행하겠습니다 

생성 버튼을 클릭하면 다음 그림과 같이 생성된 클라이언트 정보를 볼 수 있고 생성된 애플리케이션을 클릭하면 그림과 같이 인증 정보를 볼 수 있습니다 

생성된 클라이언트 목록

클라이언트 ID와 클라이언트 보안 비밀 코드를 프로젝트에서 설정하겠습니다

• application-oauth 등록

4장에서 만들었던 application.properties가 있는 sec/main/resources/디렉토리에 application-oauth.properties 파일을 생성합니다 

 

 

 

 

5.3 구글 로그인 연동하기

구글의 로그인 인증정보를 발급 받았으니 프로젝트 구현을 진행하였습니다.

먼저 사용자 정보를 담당할 도에인인 User 클래스를 생성합니다.

패키지는 domain 아래에 user 패키지를 생성합니다.

package study.springboot.domain.user;

import jakarta.persistence.*;
import lombok.Builder;
import lombok.Getter;
import lombok.NoArgsConstructor;
import study.springboot.domain.BaseTimeEntity;

import javax.management.relation.Role;

@Getter
@NoArgsConstructor
@Entity
public class User extends BaseTimeEntity {

    @Id
    @GeneratedValue(strategy = GenerationType.IDENTITY)
    private Long id;

    @Column(nullable = false)
    private String name;

    @Column(nullable = false)
    private String email;

    @Column
    private String picture;

    @Enumerated(EnumType.STRING)
    @Column(nullable = false)
    private Role role;

    @Builder
    public User(String name, String email, String picture, Role role){
        this.name = name;
        this.email = email;
        this.picture = picture;
        this.role = role;
    }

    public User update(String name, String picture){
        this.name = name;
        this.picture = picture;

        return this;
    }

    public String getRoleKey(){
        return this.role.getKey();
    }
}

@Getter

@NoArgsConstructor

@Entity

@Id

@GeneratedValue(strategy = GenerationType.IDENTITY)

@Column(nullable = false)

private String picture

@Enumerated(EnumType.STRING)

@Builder

 

@Enumerated(EnumType.STRING)

• JPA로 데이터베이스로 저장할 때 Enum 값을 어떤 형태로 저장할지를 결정합니다
• 기본적으로는 int로 된 숫자로 저장됩니다
• 숫자로 저장되면 데이터베이스로 확인할 때 그 값이 무슨 코드를 의미하는지 알 수가 없습니다
• 그래서 문자열 (EnumType.STRING)로 저장될 수 있도록 선언합니다 

 

 

 

 

각 사용자의 권한을 관리할 Enum 클래스 Role을 생성합니다.

package study.springboot.domain.user;

import lombok.Getter;
import lombok.RequiredArgsConstructor;

@Getter
@RequiredArgsConstructor
public enum Role {
    
    GUEST("ROLE_GUEST", "손님"),
    USER("ROLE_USER", "일반 사용자");
    
    private final String key;
    private final String title;
    
}

스프링 시큐리티에서는 권한 코드에 항상 ROLE_이 앞에 있어야만 합니다

그래서 코드별 키 값을 ROLE_GUEST, ROLE_USER 등으로 지정합니다

 

마지막으로 User의 CRUD를 책임질 UserRepository도 생성합니다

package study.springboot.domain.user;

import org.springframework.data.jpa.repository.JpaRepository;

import java.util.Optional;

public interface UserRepository extends JpaRepository<User, Long> {
    
    Optional<User> findByEmail(String email);
}

findByEmail

• 소셜 로그인으로 반환되는 값 중 email을 통해 이미 생성된 사용자인지 처음 가입하는 사용자인지 판단하기 위한 메소드임 

User 엔티티 관련 코드를 모두 작성했으니 본격적으로 시큐리티 설정을 진행하겠습니다