[스프링부트] 스프링 시큐리티와 OAuth 2.0으로 로그인 기능 구현하기

*이동욱 저, 스프링부트와 aws로 혼자 구현하는 웹서비스를 학습하면서 작성한 포스팅입니다.

1. 스프링 시큐리티와 OAuth

 스프링 시큐리티(Spring Security)는 막강한 인증과 인가(혹은 권한 부여) 기능을 가진 프레임워크이다. 사실상 스프링 기반의 애플리케이션에서는 보안을 위한 표준이라고 보면 된다. 인터셉터, 필터 기반의 보안 기능을 구현하는 것보다 스프링 시큐리티를 통해 구현하는 것을 적극적으로 권장하고 있다.

 스프링 대부분 프로젝트들(Mvc, Data, Batch 등)처럼 확장성을 고려한 프레임워크이다 보니 다양한 요구사항을 손쉽게 추가하고 변경할 수 있다. 이런 쉬운 설정은 특히나 스프링 부트 1.5에서 2.0으로 넘어오면서 더욱 더 강력해졌다.

 이번 장에서는 스프링 시큐리티와 OAuth 2.0을 구현한 구글 로그인을 연동하여 로그인 기능을 만들어보도록 한다.

 

OAuth(Open Authorization)는 인증 및 인가 프로토콜로, 사용자가 웹 또는 모바일 애플리케이션을 통해 다른 웹 애플리케이션 또는 서비스에 대한 제한된 액세스 권한을 부여할 수 있도록 돕는 프레임워크이다.

일반적으로 OAuth는 사용자가 Facebook, Google, Twitter 등과 같은 제3자 서비스 인증 정보를 사용하여 애플리케이션에 로그인 또는 액세스 권한을 부여하는 데 사용된다. 이를 통해 사용자는 자신의 계정 정보를 공유하지 않고도 다른 애플리케이션에서 로그인할 수 있다.

OAuth의 작동 방식:

1. 클라이언트 애플리케이션(요청자)은 사용자에게 인가를 요청하기 위해 제3자 서비스(인가 서버)로 리디렉션.
2. 사용자는 제3자 서비스에 로그인하고 클라이언트 애플리케이션이 요청한 액세스 권한을 허용 또는 거부할 수 있다.
3. 사용자가 액세스 권한을 허용하면, 제3자 서비스는 클라이언트 애플리케이션에 대한 액세스 토큰을 발급한다.
4. 클라이언트 애플리케이션은 액세스 토큰을 사용하여 제3자 서비스의 API에 액세스하고, 사용자의 정보나 리소스에 접근.

이러한 방식으로 OAuth는 사용자의 비밀 정보를 공유하지 않고도 다른 애플리케이션 간에 안전하게 인증 및 인가를 처리할 수 있는 메커니즘을 제공한다. OAuth는 웹 및 모바일 애플리케이션에서 소셜 로그인, API 호출 권한 제어 등 다양한 시나리오에서 사용한다.

---

리디렉션(Redirection)은 웹 요청이나 페이지의 이동을 다른 URL로 전환하는 프로세스를 의미. 일반적으로 클라이언트(웹 브라우저)가 요청한 페이지가 다른 위치에 있을 때 사용되며, 클라이언트를 새로운 URL로 자동으로 이동시킨다.

리디렉션은 다양한 상황에서 사용될 수 있다.

일반적인 예

1. 주소 변경: 웹 사이트의 URL이 변경되었을 때, 전 URL로 접속하는 사용자를 새 URL로 리디렉션하여 새로운 주소로 이동시킨다.
2. 페이지 이동: 로그인이나 회원 가입과 같은 액션을 수행한 후, 사용자를 다른 페이지로 이동.
3. 콘텐츠 이동: 특정 URL에 있는 콘텐츠가 다른 URL로 이동되었을 때, 사용자를 새로운 위치로 리디렉션하여 올바른 콘텐츠를 표시.

리디렉션은 HTTP 프로토콜을 사용하여 구현됩니다. 일반적으로 3xx 상태 코드(예: 301 Moved Permanently, 302 Found, 307 Temporary Redirect)를 함께 반환하여 클라이언트에게 리디렉션을 알린다. 이러한 상태 코드와 함께 리디렉션할 목적지 URL을 응답 헤더에 포함시킨다.

웹 애플리케이션에서 리디렉션은 사용자 경험 개선, 콘텐츠 이동, URL 변경 등의 목적으로 사용된다.

---

2. 스프링 시큐리티와 스프링 시큐리티 OAuth 2.0 클라이언트

많은 서비스에서 로그인 기능을 id/password 방식보다는 구글, 페이스북, 네이버 로그인과 같은 소셜 로그인 기능을 사용한다.

직접 구현할 경우 배꼽이 너무 커진다

- 로그인 시 보안

- 비밀번호 찾기

- 회원가입 시 이메일 혹은 전화번호 인증

- 비밀번호 변경

- 회원정보 변경

OAuth 로그인 구현 시 앞선 목록의 것들을 모두 구글, 페이스북, 네이버 등에 맡기면 되니 서비스 개발에 집중할 수 있다.

spring-security-oauth2-autoconfigure

위 라이브러리 덕분에 스프링부트2에서도 1.5에서 쓰던 설정을 그대로 사용할 수 있다. 하지만 이 책에서는 스프링 부트2 방식인 Spring Security Oauth2 Client 라이브러리를 사용해서 진행한다.

- 스프링팀에서 신규 기능은 앞으로 oauth2 라이브러리에서만 지원하겠다고 선언

- 스프링부트용 라이브러리 출시

- 기존 사용 방식은 확장 포인트가 오픈되어있지 않아 직접 상속하거나 오버라이딩해야 하고 신규 라이브러리의 경우 확장 포인트를 고려해서 설계된 상태

 

또한 스프링 부트2 방식의 자료를 찾고 싶은 경우 인터넷 자료들 사이에서 다음 두가지만 확인하면 된다.

- 먼저 spring-security-oauth2-autoconfigure 라이브러리를 썼는지 확인

- application.properties 혹은 application.yml 정보가 다음과 같이 차이가 있는지 비교

---

스프링부트 1.5 방식에서는 url 주소를 모두 명시해야 하지만, 2.0방식에서는 client인증 정보만 입력하면 된다. 1.5 버전에서 직접 입력했던 값들은 2.0버전으로 오면서 모두 enum으로 대체되었다.

CommonOAuth2Provider 라는 enum이 새롭게 추가되어 구글, 깃허브, 페이스북, 옥타의 기본 설정값은 모두 여기서 제공한다. 

 이외에 다른 소셜 로그인(네이버, 카카오 등)을 추가한다면 직접 다 추가해주어야 한다.

---

3. 구글 서비스 등록

참고 블로그: https://www.joinc.co.kr/w/man/12/oAuth2/Google

먼저 구글 서비스에 신규 서비스를 생성한다. 발급된 인증 정보(clientId와 clientSecret)을 통해서 로그인 기능과 소셜 서비스 기능을 사용할 수 있으니 무조건 발급받고 시작해야 한다. 구글 클라우드 플랫폼 주소 ( https://console.cloud.google.com)로 이동한다.

등록될 서비스의 이름을 입력한다. 원하는 이름으로 지으면 된다.

만든 프로젝트로 이동

그다음 동의화면 구성 클릭

앱이름, 개발자 이메일, 구글 API 범위 지정해준다. (여기서는 이메일, 프로필, 오픈 id 이렇게 기본 범위만 사용한다. 구글 서버스에서 사용할 범위가 더 많으면 범위 추가해주면 된다.)

사용자 인증 정보 > 사용자 인증 정보 만들기 > OAuth 클라이언트 ID"를 클릭해서 새로운 OAuth 클라이언트를 등록 할 수 있다.

이름: springbootwebservice

승인된 자바스크립트 원본 : http://localhost:8080

승인된 리디렉션 uri : http://localhost:8080/login/oauth2/code/google 서비스에서 파라미터로 인증 정보를 주었을 때 인증이 성공하면 구글에서 리다이렉트할 url이다. 스프링 부트 2 버전의 시큐리티에서는 기본적으로 {도메인}/login/oauth2/code/{소셜서비스코드}로 리다이렉트 URL을 지원하고 있다. 사용자가 별도로 리다이렉트 URL을 지원하는 controller를 만들 필요가 없다. 시큐리티에서 이미 구현해놓은 상태이기 때문이다. AWS 서버에 배포하게 되면 localhost 외에 추가로 주소를 추가해야한다.(추후)

• 애플리케이션 유형 : 웹 애플리케이션, Android, Chrome 앱, iOS, TV 및 입력제한기기, 데스크톱 앱, UWP 등 유형을 선택 할 수 있다. 웹 애플리케이션을 선택했다.
• 이름 : 애플리케이션 이름을 설정한다.
• URI : oAuth2 클라이언트가 설치될 URI를 입력한다. 테스트이므로 http://localhost:8080 을 설정
• 승인된 리디렉션 URI : Google 인증 창에서 인증을 끝낸 후 리다이렉트 할 콜백 URL을 설정다. 

클라이언트가 만들어지면 클라이언트 ID와 클라이언트 보안 비밀번호가 생성된다. 이들은 oAuth2 애플리케이션을 만들때 사용하는 값이다. 저장해두고, 프로젝트에서 설정해본다.

 

4. application-oauth 등록

4장에서 만들었던 application.properties가 있는 src/main/resources 디렉토리에 application-oauth.properties 파일을 생성한다.

 

해당 파일에 클라이언트 ID와 클라이언트 보안 비밀 코드를 다음과 같이 등록한다.

spring.security.oauth2.client.registration.google.client-id=구글클라이언트ID
spring.security.oauth2.client.registration.google.client-secret=구글클라이언트시크릿
spring.security.oauth2.client.registration.google.scope=profile,email

scope=profile,email

많은 예제에서는 이 scope를 별도로 등록하지 않고 있다.

기본 값이 openid,profile,email이기 때문이다.

강제로 profile, email을 등록한 이유는 openid라는 scope가 있으면 Open id Provider로 인식하기 때문이다.

이렇게 되면 OpenId Provider인 서비스(구글)와 그렇지 않은 서비스(네이버/카카오 등)로 나눠서 각각 OAuth2Service를 만들어야 한다. 하나의 OAuth2Service로 사용하기 위해 일부러 openid scope를 빼고 등록한다.

 

스프링 부트에서는 properties의 이름을 application-xxx.properties로 만들면 xxx(Oauth)라는 이름의 profile이 생성되어 이를 통해 관리할 수 있다. 즉, profile=xxx 라는 식으로 호출하면 해당 properties의 설정들을 가져올 수 있다. 호출 방식은 여러 방식이 있지만 이 책에서는 스프링부트의 기본 설정 파일인 application.properties에서 application-oauth.properties를 포함하도록 구성한다.

 

그러므로 application.properties 에 다음과 같이 코드를 추가한다.

spring.profiles.include=oauth

spring.profiles.include=oauth
spring.jpa.show-sql=true
spring.jpa.properties.hibernate.dialect=org.hibernate.dialect.MySQL5InnoDBDialect
spring.h2.console.enabled=true

이제 이 설정값을 사용할 수 있게 되었다. 

5. .gitignore 등록

구글 로그인을 위한 클라이언트 ID와 클라이언트 보안 비밀은 보안이 중요한 정보들이다. 외부에 노출될 경우 언제든 개인정보를 가져갈 수 있는 중요한 정보들이다. 이들이 외부에 노출될 경우 언제든 개인정보를 가져갈 수 있는 취약점이 될 수 있다.

 application-oauth.properties 파일이 깃허브에 올라가는 것을 방지하도록 하자. .gitignore에 다음과 같이 코드를 추가한다.

application-oauth.properties

추가한 뒤 커밋했을 때 커밋 파일 목록에 application-oauth.properties가 나오지 않으면 성공이다. 

.gitignore가 제대로 작동되지 않아서 ignore처리된 파일이 자꾸 changes에 나올때가 있다.
git의 캐시가 문제가 되는거라 아래 명령어로 캐시 내용을 전부 삭제후 다시 add All해서 커밋하면 된다.

git rm -r --cached .
git add .
git commit -m "fixed untracked files"

6. 구글 로그인 연동하기

구글의 로그인 인증정보를 발급 받았으니 프로젝트 구현을 진행해보도록 한다.

먼저 사용자 정보를 담당할 도메인인 User 클래스를 생성한다. 패키지는 domain 아래에 user 패키지를 생성한다.

package com.jojo.book.springbootwebservice.domain.user;

import com.jojo.book.springbootwebservice.domain.BaseTimeEntity;
import lombok.Builder;

import javax.persistence.*;

public class User extends BaseTimeEntity {
    @Id
    @GeneratedValue(strategy = GenerationType.IDENTITY)
    private Long id;

    @Column(nullable = false)
    private String name;

    @Column(nullable = false)
    private String email;

    @Column
    private String picture;

    @Enumerated(EnumType.STRING)
    @Column(nullable = false)
    private Role role;

    @Builder
    public User(String name, String email, String picture, Role role){
        this.name = name;
        this.email = email;
        this.picture = picture;
        this.role = role;
    }

    public User update(String name, String picture){
        this.name = name;
        this.picture = picture;
        return this;
    }

    public String getRoleKey(){
        return this.role.getKey();
    }
}

    @Enumerated(EnumType.STRING)
    @Column(nullable = false)
    private Role role;

    @Enumerated(EnumType.STRING)  : JPA로 데이터베이스로 저장할 때 Enum 값을 어떤 형태로 저장할지를 결정한다. 기본적으로는 int로 된 숫자가 저장된다. 숫자로 저장되면 데이터베이스로 확인할 때 그 값이 무슨 코드를 의미하는지 알 수가 없다. 그래서 문자열로 저장될 수 있도록 선언한다.

 

각 사용자의 권한을 관리할 Enum 클래스 Role을 생성한다.

package com.jojo.book.springbootwebservice.domain.user;

import lombok.Getter;
import lombok.RequiredArgsConstructor;

@Getter
@RequiredArgsConstructor
public enum Role {
    GUEST("ROLE_GUEST","손님"),
    USER("ROLE_USER","일반 사용자");
    private final String key;
    private final String title;
}

 

스프링 시큐리티에서는 권한 코드에 항상 ROLE_ 이 앞에 있어야만 한다. 그래서 코드별 키 값을 ROLE_GUEST, ROLE_USER 등으로 지정한다. 마지막으로 User의 CRUD를 책임질 UserRepository도 생성한다. 

package com.jojo.book.springbootwebservice.domain.user;

import org.springframework.data.jpa.repository.JpaRepository;

import java.util.Optional;

public interface UserRepository extends JpaRepository<User, Long> {
    Optional<User> findByEmail(String email);
}

findByEmail는 소셜 로그인으로 반환되는 값 중 email을 통해 이미 생성된 사용자인지 처음 가입하는 사용자인지 판단하기 위한 메소드이다. 

7.  스프링 시큐리티 설정

(1) 스프링 시큐리티란?

스프링 시큐리티는 다양한 애플리케이션에서 보안 요구 사항을 충족시키기 위해 널리 사용되는 프레임워크입니다.

스프링 시큐리티(Spring Security)는 자바 기반의 애플리케이션에서 보안 기능을 구현하기 위한 프레임워크입니다. 스프링 시큐리티는 인증(Authentication)과 권한 부여(Authorization)를 다루며, 웹 애플리케이션뿐만 아니라 서비스, 메서드, 데이터베이스 수준에서도 보안을 지원한다.

몇 가지 중요한 기능은 다음과 같다:

1. 인증(Authentication): 사용자의 신원을 확인하는 프로세스로, 아이디와 비밀번호를 사용한 로그인이 가장 일반적. 스프링 시큐리티는 다양한 인증 방식을 지원하며, 사용자 데이터를 데이터베이스, LDAP, 메모리 등에서 가져올 수 있다.
2. 권한 부여(Authorization): 인증된 사용자에 대한 권한을 관리하는 기능. 스프링 시큐리티는 롤(Role)이나 권한(Authority) 기반의 접근 제어를 제공하며, 애너테이션, XML 설정, 자바 코드 등을 통해 권한을 정의하고 제어할 수 있다.
3. 보안 설정(Security Configuration): 스프링 시큐리티는 애플리케이션의 보안 설정을 구성하는 방법을 제공한다. 설정 파일이나 자바 설정 클래스를 통해 보안 규칙, 인증 프로바이더, 접근 제어 등을 정의할 수 있다.
4. 웹 보안(Web Security): 스프링 시큐리티는 웹 애플리케이션에서 보안을 구현하기 위한 다양한 기능을 제공한다. 예를 들어, 폼 인증, URL 기반의 접근 제어, CSRF(Cross-Site Request Forgery) 방어 등을 처리할 수 있다.

먼저 build.gradle에 스프링 시큐리티 관련 의존성 하나를 추가한다. 

implementation 'org.springframework.boot:spring-boot-starter-oauth2-client'

implementation 'org.springframework.boot:spring-boot-starter-oauth2-client'는 소셜 로그인 등 클라이언트 입장에서 소셜 기능 구현시 필요한 의존성이다. spring-security-oauth2-client와 spring-security-oauth2-jose를 기본으로 관리해준다.  

 

이제 OAuth 라이브러리를 이용한 소셜 로그인 설정 코드를 작성한다.

config.auth 패키지를 생성한다. 앞으로 시큐리티 관련 클래스는 모두 이곳에 담는다. 

SecurityConfig

package com.jojo.book.springbootwebservice.config.auth;

import com.jojo.book.springbootwebservice.domain.user.Role;
import lombok.RequiredArgsConstructor;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
@RequiredArgsConstructor
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    private final CustomOAuth2UserService customOAuth2UserService;

    protected void configure() throws Exception {
        http
                .csrf().disable()
                .headers().frameOptions().disable() //
                .and()
                .authorizeRequests()
                .autMatchers("/", "/css/**", "/images/**", "/js/**", "/h2-console/**").permitAll()
                .autMatchers("/api/v1/**").hasRole(Role.USER.name()) //
                .anyRequest().authenticated()
                .and()
                .logout()
                .logoutSuccessUrl("/")
                .and()
                .oauth2Login()
                .userInfoEndPoint()
                .userService(customOAuth2UserService); //

    }
}

코드 설명

package com.jojo.book.springbootwebservice.config.auth;

import com.jojo.book.springbootwebservice.domain.user.Role;
import lombok.RequiredArgsConstructor;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
@RequiredArgsConstructor
@EnableWebSecurity Spring Security 설정들을 활성화시킨다.
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    private final CustomOAuth2UserService customOAuth2UserService;

    protected void configure() throws Exception {
        http
                .csrf().disable()
                .headers().frameOptions().disable() // h2-console 화면을 사용하기 위해 해당 옵션들을 disable
                .and()
                .authorizeRequests() // URL별 권한 관리를 설정하는 옵션의 시작점. authorizeRequests가 선언되어야만 antMatchers 옵션을 사용할 수 있다.
                .autMatchers("/", "/css/**", "/images/**", "/js/**", "/h2-console/**").permitAll() //권한 관리 대상을 지정하는 옵션

URL, HTTP 메소드별로 관리가 가능하다. "/" 등 지정된 URL 들을 permitAll() 옵션을 통해 전체 열람 권한을 주었다. 
                .autMatchers("/api/v1/**").hasRole(Role.USER.name()) // "api/v1/**" 주소를 가진 API는 USER 권한을 가진 사람만 가능하도록 한다. 
                .anyRequest().authenticated() // 설정된 값들 이외 나머지 URL들을 나타낸다. 여기서는 .authenticated()를 추가하여 나머지 URL들은 모두 인증된 사용자들에게만 허용하게 한다. 인증된 사용자, 즉 로그인한 사용자들을  이야기한다.
                .and()
                .logout()
                .logoutSuccessUrl("/") 로그아웃 기능에 대한 여러 설정의 진입점이다. 로그아웃 성공시 /주소로 이동한다.
                .and()
                .oauth2Login() OAuth2 로그인 기능에 대한 여러 설정의 진입점이다.
                .userInfoEndPoint() OAuth2 로그인 성공 이후 사용자 정보를 가져올 때의 설정들을 담당한다.
                .userService(customOAuth2UserService); // 소셜 로그인 성공 시 후속 조치를 진행할 UserService 인터페이스의 구현체를 등록한다. 리소스 서버(즉, 소셜 서비스들)에서 사용자 정보를 가져온 상태에서 추가로 진행하고자 하는 기능을 명시할 수 있다.

    }
}

위와 같이 설정 코드 작성이 끝났다면 CustomOAuth2UserService 클래스를 생성한다. 

 

CustomOAuth2UserService

이 클래스에서는 구글 로그인 이후 가져온 사용자의 정보(email, name, picture 등)들을 기반으로 가입 및 정보수정, 세션 저장 등의 기능을 지원한다.