fridge-member 프로젝트의 회원 가입을 위한 API를 추가한다. UI 서버에서 회원가입을 진행하면 아이디와 패스워드가 요청바디에 담겨서 member API를 POST 방식으로 호출한다. JPA repository 의 save 메서드를 호출하는 서비스 로직을 담는 MemberService 클래스를 우선 작성한다.
클래스에는 Service 애너테이션이 선언되고, Transactional 애너테이션이 선언되어 있다. Lombok 라이브러리의 RequiredArgsConstructor 애너테이션을 선언해서 repository 의존성을 생성자에서 주입한다.
save 메서드는 Member 클래스를 파라미터로 전달받고 생성된 Member 객체를 리턴한다. 메서드 내부에서는 repository 의 save메서드를 호출한다.
UI 서버에서 호출하는 endpoint인 컨트롤러 메서드를 MemberController 클래스에 추가한다.
Post 방식으로 /members URL을 호출하면 registerNewMember 메서드가 매핑된다. 요청바디에는 Member 객체가 바인딩되어서 전달된다. MemberService의 save메서드를 호출하면 새로운 회원이 등록되고 리턴된 Member 객체를 HATEOAS 의 resource 객체로 래핑해서 response body에 실어서 보낸다.
이제 UI서버에서 회원가입과 로그인,로그아웃을 Member API를 호출하는 방식으로 작성한다. 인증과 인가는 Spring Security를 활용한다.
spring security 라이브러리 의존성을 pom.xml 에 추가한다.
spring boot의 spring security 기본 설정을 덮어쓰기위해 Configuration 클래스를 다음과 같이 작성한다.
WebSecurityConfig 클래스는 WebSecurityConfigurerAdapter 클래스를 상속받아서 configure(HttpSecurity), configure(AuthenticationManagerBuilder) 두 메서드를 재정의한다.
클래스는 환경설정 클래스를 나타내는 @Configuration 애너테이션이 선언되어 있다. @EnableWebSecurity 애너테이션은 WebSecurityConfigurer 인터페이스를 구현하는 클래스 또는 WebSecurityConfigurerAdapter 클래스를 상속받아 설정을 작성하는 클래스에 선언한다.
@RequiredArgsConstructor lombok 애너테이션은 final 필드의 생성자를 작성하여 의존성을 주입한다.
configure(HttpSecurity) 메서드를 Override 하여 인증관련 설정을 한다. 인증 요청(authorizeRequests)에서는 /, /signup URL(antMatchers)은 인증없이 접근가능(permitAll)하며 정적리소스들(CSS, 이미지...) 또한(PathRequest.toStaticResources.atCommonLocations) 인증없이 접근가능하다. 그 외의 모든 요청(anyRequest)에 대해서는 인증된(authenticated) 클라이언트만이 접근할 수 있다.
formLogin 방식을 사용하고, 로그인 폼 페이지 URL은 signin 이다.(loginPage) 로그인 폼 페이지는 인증없이 접근가능하다.(permitAll)
logout의 logout url은 signout 이며(logoutUrl) 그외 인증방식으로 httpBasic 방식을 지원한다. httpBasic 방식은 헤더의 Authorization 키의 값으로 Base64 인코딩된 아이디:비밀번호를 전달하면 인증된다.
passwordEncoder 빈 등록메서드는 BCrypt 패스워드 인코더 클래스를 빈으로 등록한다.
비밀번호를 BCrypt로 암호화해서 데이터베이스에 저장하면 암호가 노출되더라도 단방향 암호인 Bcrypt 의 경우 복호화하기 힘들기 때문에 보안에 더 유리하다. 단방향 암호화에는 MD5, SHA-1, SHA-256, SHA-512, BCrypt 등이 있고, 양방향 암복호화는 AES 방식을 주로 사용한다.
단방향 암호화로 MD5, SHA-1은 이미 데이터베이스에 암호화 문자열을 저장하는 방식으로 공개되었으므로 더이상 사용하기 힘들다.
configure(AuthenticationManagerBuilder) 메서드를 재정의해서 인증정보 관리 부분을 설정한다.
userDetailsService 메서드는 UserDetailService 인터페이스를 구현한 클래스를 파라미터로 전달한다.
그리고 패스워드를 인코딩할 패스워드 인코더를 파라미터로 전달하는데 위에서 빈으로 등록한 BCrypt 빈 메서드를 전달한다.
UserDetailsService 인터페이스는 인증사용자 호출 유형을 추상화한 부분으로 내부에는 loadUserByUsername 단 하나의 메서드를 구현한다. 파라미터로는 문자열을 전달하며, 리턴타입은 UserDetails 클래스이다.
UserDetails 클래스는 인증사용자의 정보를 추상화한 인터페이스이다.
실제로 UserDetailsService 인터페이스를 구현한 구상 클래스 MemberUserDetailsService 클래스를 작성한다.
@Component 애너테이션을 선언해서 bean scanning에서 걸리도록하여, 의존성이 주입될 수 있도록 한다. MemberRestService 클래스는 Rest API 를 모아두는 클래스로 loadByUsername 메서드를 호출하면 단일 행이 반환되는 API 메서드이다. 만약 리턴된 Member 객체가 null이면, 파라미터로 전달된 username과 일치하는 데이터가 없으므로 UsernameNotFoundException 예외를 발생시킨다.
member 객체를 바로 리턴했다는 말은 Member 객체가 UserDetails 인터페이스를 구현했다는 뜻이다.
MemberRestService 클래스 부터 먼저 확인하고 Member 객체를 확인한다.
loadByUsername 메서드와 register 메서드가 구현되어있다. loadByUsername은 파리미터로 전달되는 username 문자열을 Member API서버에 /members/{username} 을 GET으로 호출한다.
Member API서버에서는 username 과 일치하는 회원정보를 응답한다.
응답상태코드가 200 OK이면 응답본문을 리턴한다.
register 메서드는 Member 객체를 파라미터로 전달받아서 Member API서버에 /memebers 을 Post방식으로 호출한다. 요청본문에 member 객체를 전달하면, Member API서버에서는 요청바디의 Member 정보를 바탕으로 새로운 회원을 등록하고 등록된 회원정보를 응답본문에 실어서 돌려준다.
이어서, Member 객체 구현부분이다.
Member 객체는 Member API서버와의 통신 사이의 DTO역할을 하면서, UI와 컨트롤러간의 Model 역할도 한다. UserDetails 인터페이스를 구현하여 추상메서드 getUsername, getPassword, getAuthorities, isAccountNonExpired, isAccountNonLocked, isCredentialsNonExpired, isEnabled 메서드들을 구현한다.
getUsername, getPassword 메서드는 @Data lombok 라이브러리를 활용해서 이미 구현됨으로 생략한다. 필드는 long id, username, password 3개의 멤버변수가 있다.
getAuthorities 메서드는 권한 컬렉션을 반환하며, 아직 권한관련 부분은 고려하지 않았으므로, AuthorityUtils 를 사용해서 USER 권한을 반환하도록 한다.
accountNonExpired, accountNonLocked, credencialsNonExpired, enabled boolean getter 메서드들은 계정만료여부, 계정잠금여부, 암호만료여부, 계정사용가능여부를 뜻한다.
최소한의 계정관리에 고려해야 할 부분이지만, 아직 고려된 부분이 없으므로 true를 반환한다. 차후 Role과 계정잠금관련 부분을 구현할 예정이다.
기존의 Application클래스에서 restTemplate 빈클래스 메서드가 fridge 서버만 존재하였는데, member API 서버도 호출할 수 있도록 수정한다.
RestTemplate 빈 클래스 설정 메서드가 두개로 구분되며 메서드명을 달리함으로써 빈 메서드네임을 이용해서 구분하도록 한다.
즉, @Autowired 애너테이션을 사용하거나, 생성자에 의존성을 주입하는 방식, setter를 이용하여 의존성을 주입하는 방식을 사용할때, fridge API를 사용하려면 fridgeServiceRestTemplate을 변수명으로 지정함으로써 빈 클래스를 이름으로 찾을 수 있다.
빈 설정메서드에 @LoadBalanced 애너테이션이 선언되어 소프트웨어 방식으로 로드밸런싱을 가능하게 한다.
MemberController 클래스에서는 회원가입 폼페이지와, 회원가입 처리, 로그인 폼페이지 컨트롤러 메서드를 구현한다.
signupForm 메서드는 회원가입 폼 페이지이다. member 객체를 모델에 추가하는것은 회원가입시 Validation을 위해서 추가한다. signupProcessing 메서드는 member API에 폼데이터의 username 이 이미 존재하는지 확인하고 존재한다면 validation에서 걸리도록 추가하고, 다시 view페이지로 forward한다.
vaildation이 다 끝나면 register 메서드를 호출하기 전에 폼데이터로 전달받은 password값을 passwordEncoder(BCrypt)로 인코딩해서 암호화한 값을 전달한다. Member 서버에서는 암호화된 값만을 영속성에 보유한다.
signinForm 메서드는 로그인 폼 페이지를 보여준다. 로그인 처리는 spring security가 담당한다. 그러므로 폼페이지만 구현하면 된다.
이전글: 냉장고 가계부 프로젝트 31
다음글: 냉장고 가계부 프로젝트 33
@Service
@Transactional
@RequiredArgsConstructor
public class MemberService {
private final MemberRepository repository;
public Member save(Member member) {
return repository.save(member);
}
}
클래스에는 Service 애너테이션이 선언되고, Transactional 애너테이션이 선언되어 있다. Lombok 라이브러리의 RequiredArgsConstructor 애너테이션을 선언해서 repository 의존성을 생성자에서 주입한다.
save 메서드는 Member 클래스를 파라미터로 전달받고 생성된 Member 객체를 리턴한다. 메서드 내부에서는 repository 의 save메서드를 호출한다.
UI 서버에서 호출하는 endpoint인 컨트롤러 메서드를 MemberController 클래스에 추가한다.
@RestController
@RequestMapping("/members")
@RequiredArgsConstructor
public class MemberController {
private final MemberRepository repository;
private final MemberResourceAssembler assembler;
private final MemberService service;
...
@PostMapping
ResponseEntity<?> registerNewMember(@RequestBody Member memberRequest) throws URISyntaxException {
Member member = service.save(memberRequest);
Resource<Member> resource = assembler.toResource(member);
return ResponseEntity.created(new URI(resource.getId().expand().getHref()))
.body(resource);
}
}
Post 방식으로 /members URL을 호출하면 registerNewMember 메서드가 매핑된다. 요청바디에는 Member 객체가 바인딩되어서 전달된다. MemberService의 save메서드를 호출하면 새로운 회원이 등록되고 리턴된 Member 객체를 HATEOAS 의 resource 객체로 래핑해서 response body에 실어서 보낸다.
이제 UI서버에서 회원가입과 로그인,로그아웃을 Member API를 호출하는 방식으로 작성한다. 인증과 인가는 Spring Security를 활용한다.
spring security 라이브러리 의존성을 pom.xml 에 추가한다.
<dependencies>
...
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-security</artifactId>
</dependency>
...
</dependencies>
spring boot의 spring security 기본 설정을 덮어쓰기위해 Configuration 클래스를 다음과 같이 작성한다.
@Configuration
@EnableWebSecurity
@RequiredArgsConstructor
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {
private final MemberUserDetailsService userDetailsService;
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.antMatchers("/", "/signup").permitAll()
.requestMatchers(PathRequest.toStaticResources().atCommonLocations()).permitAll()
.anyRequest().authenticated()
.and()
.formLogin()
.loginPage("/signin")
.permitAll()
.and()
.logout()
.logoutUrl("/signout")
.permitAll()
.and()
.httpBasic();
}
@Bean
public PasswordEncoder passwordEncoder() {
return new BCryptPasswordEncoder();
}
@Override
protected void configure(AuthenticationManagerBuilder auth) throws Exception {
auth
.userDetailsService(userDetailsService)
.passwordEncoder(passwordEncoder());
}
}
WebSecurityConfig 클래스는 WebSecurityConfigurerAdapter 클래스를 상속받아서 configure(HttpSecurity), configure(AuthenticationManagerBuilder) 두 메서드를 재정의한다.
클래스는 환경설정 클래스를 나타내는 @Configuration 애너테이션이 선언되어 있다. @EnableWebSecurity 애너테이션은 WebSecurityConfigurer 인터페이스를 구현하는 클래스 또는 WebSecurityConfigurerAdapter 클래스를 상속받아 설정을 작성하는 클래스에 선언한다.
@RequiredArgsConstructor lombok 애너테이션은 final 필드의 생성자를 작성하여 의존성을 주입한다.
configure(HttpSecurity) 메서드를 Override 하여 인증관련 설정을 한다. 인증 요청(authorizeRequests)에서는 /, /signup URL(antMatchers)은 인증없이 접근가능(permitAll)하며 정적리소스들(CSS, 이미지...) 또한(PathRequest.toStaticResources.atCommonLocations) 인증없이 접근가능하다. 그 외의 모든 요청(anyRequest)에 대해서는 인증된(authenticated) 클라이언트만이 접근할 수 있다.
formLogin 방식을 사용하고, 로그인 폼 페이지 URL은 signin 이다.(loginPage) 로그인 폼 페이지는 인증없이 접근가능하다.(permitAll)
logout의 logout url은 signout 이며(logoutUrl) 그외 인증방식으로 httpBasic 방식을 지원한다. httpBasic 방식은 헤더의 Authorization 키의 값으로 Base64 인코딩된 아이디:비밀번호를 전달하면 인증된다.
passwordEncoder 빈 등록메서드는 BCrypt 패스워드 인코더 클래스를 빈으로 등록한다.
비밀번호를 BCrypt로 암호화해서 데이터베이스에 저장하면 암호가 노출되더라도 단방향 암호인 Bcrypt 의 경우 복호화하기 힘들기 때문에 보안에 더 유리하다. 단방향 암호화에는 MD5, SHA-1, SHA-256, SHA-512, BCrypt 등이 있고, 양방향 암복호화는 AES 방식을 주로 사용한다.
단방향 암호화로 MD5, SHA-1은 이미 데이터베이스에 암호화 문자열을 저장하는 방식으로 공개되었으므로 더이상 사용하기 힘들다.
configure(AuthenticationManagerBuilder) 메서드를 재정의해서 인증정보 관리 부분을 설정한다.
userDetailsService 메서드는 UserDetailService 인터페이스를 구현한 클래스를 파라미터로 전달한다.
그리고 패스워드를 인코딩할 패스워드 인코더를 파라미터로 전달하는데 위에서 빈으로 등록한 BCrypt 빈 메서드를 전달한다.
UserDetailsService 인터페이스는 인증사용자 호출 유형을 추상화한 부분으로 내부에는 loadUserByUsername 단 하나의 메서드를 구현한다. 파라미터로는 문자열을 전달하며, 리턴타입은 UserDetails 클래스이다.
UserDetails 클래스는 인증사용자의 정보를 추상화한 인터페이스이다.
실제로 UserDetailsService 인터페이스를 구현한 구상 클래스 MemberUserDetailsService 클래스를 작성한다.
@Component
@RequiredArgsConstructor
public class MemberUserDetailsService implements UserDetailsService {
private final MemberRestService service;
@Override
public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
Member member = service.loadByUsername(username);
if(member == null) {
throw new UsernameNotFoundException("could not found user by username: " + username);
}
return member;
}
}
@Component 애너테이션을 선언해서 bean scanning에서 걸리도록하여, 의존성이 주입될 수 있도록 한다. MemberRestService 클래스는 Rest API 를 모아두는 클래스로 loadByUsername 메서드를 호출하면 단일 행이 반환되는 API 메서드이다. 만약 리턴된 Member 객체가 null이면, 파라미터로 전달된 username과 일치하는 데이터가 없으므로 UsernameNotFoundException 예외를 발생시킨다.
member 객체를 바로 리턴했다는 말은 Member 객체가 UserDetails 인터페이스를 구현했다는 뜻이다.
MemberRestService 클래스 부터 먼저 확인하고 Member 객체를 확인한다.
@Service
@RequiredArgsConstructor
@Slf4j
public class MemberRestService {
private final RestTemplate memberRestTemplate;
public Member loadByUsername(String username) {
try {
ResponseEntity<Member> response = memberRestTemplate.getForEntity("/members/{username}", Member.class, username);
if(response.getStatusCode() == HttpStatus.OK) {
return response.getBody();
}
} catch(HttpClientErrorException ex) {
log.error("Response error: {} {}", ex.getStatusCode(), ex.getStatusText());
}
return null;
}
public Member register(Member member) {
ResponseEntity<Member> response = memberRestTemplate.postForEntity("/members", member, Member.class);
if(response.getStatusCode() == HttpStatus.CREATED) {
return response.getBody();
}
return null;
}
}
loadByUsername 메서드와 register 메서드가 구현되어있다. loadByUsername은 파리미터로 전달되는 username 문자열을 Member API서버에 /members/{username} 을 GET으로 호출한다.
Member API서버에서는 username 과 일치하는 회원정보를 응답한다.
응답상태코드가 200 OK이면 응답본문을 리턴한다.
register 메서드는 Member 객체를 파라미터로 전달받아서 Member API서버에 /memebers 을 Post방식으로 호출한다. 요청본문에 member 객체를 전달하면, Member API서버에서는 요청바디의 Member 정보를 바탕으로 새로운 회원을 등록하고 등록된 회원정보를 응답본문에 실어서 돌려준다.
이어서, Member 객체 구현부분이다.
@Data
public class Member implements UserDetails {
private static final long serialVersionUID = 1L;
private Long id;
@NotNull
@Size(min=6, max=128)
private String username;
@NotNull
@Size(max=72)
private String password;
@Override
public Collection<? extends GrantedAuthority> getAuthorities() {
return AuthorityUtils.createAuthorityList("USER");
}
@Override
public boolean isAccountNonExpired() {
return true;
}
@Override
public boolean isAccountNonLocked() {
return true;
}
@Override
public boolean isCredentialsNonExpired() {
return true;
}
@Override
public boolean isEnabled() {
return true;
}
}
Member 객체는 Member API서버와의 통신 사이의 DTO역할을 하면서, UI와 컨트롤러간의 Model 역할도 한다. UserDetails 인터페이스를 구현하여 추상메서드 getUsername, getPassword, getAuthorities, isAccountNonExpired, isAccountNonLocked, isCredentialsNonExpired, isEnabled 메서드들을 구현한다.
getUsername, getPassword 메서드는 @Data lombok 라이브러리를 활용해서 이미 구현됨으로 생략한다. 필드는 long id, username, password 3개의 멤버변수가 있다.
getAuthorities 메서드는 권한 컬렉션을 반환하며, 아직 권한관련 부분은 고려하지 않았으므로, AuthorityUtils 를 사용해서 USER 권한을 반환하도록 한다.
accountNonExpired, accountNonLocked, credencialsNonExpired, enabled boolean getter 메서드들은 계정만료여부, 계정잠금여부, 암호만료여부, 계정사용가능여부를 뜻한다.
최소한의 계정관리에 고려해야 할 부분이지만, 아직 고려된 부분이 없으므로 true를 반환한다. 차후 Role과 계정잠금관련 부분을 구현할 예정이다.
기존의 Application클래스에서 restTemplate 빈클래스 메서드가 fridge 서버만 존재하였는데, member API 서버도 호출할 수 있도록 수정한다.
@SpringBootApplication
@EnableDiscoveryClient
public class Application {
@LoadBalanced
@Bean
public RestTemplate fridgeServiceRestTemplate(RestTemplateBuilder builder) {
return builder.rootUri("http://fridge-service").build();
}
@LoadBalanced
@Bean
public RestTemplate memberRestTemplate(RestTemplateBuilder builder) {
return builder.rootUri("http://fridge-member").build();
}
@Bean
public LayoutDialect layoutDialect() {
return new LayoutDialect();
}
public static void main(String[] args) {
SpringApplication.run(Application.class, args);
}
}
RestTemplate 빈 클래스 설정 메서드가 두개로 구분되며 메서드명을 달리함으로써 빈 메서드네임을 이용해서 구분하도록 한다.
즉, @Autowired 애너테이션을 사용하거나, 생성자에 의존성을 주입하는 방식, setter를 이용하여 의존성을 주입하는 방식을 사용할때, fridge API를 사용하려면 fridgeServiceRestTemplate을 변수명으로 지정함으로써 빈 클래스를 이름으로 찾을 수 있다.
빈 설정메서드에 @LoadBalanced 애너테이션이 선언되어 소프트웨어 방식으로 로드밸런싱을 가능하게 한다.
MemberController 클래스에서는 회원가입 폼페이지와, 회원가입 처리, 로그인 폼페이지 컨트롤러 메서드를 구현한다.
@Controller
@RequiredArgsConstructor
public class MemberController {
private final MemberRestService service;
private final PasswordEncoder passwordEncoder;
@GetMapping("/signup")
public String signupForm(Member member, Model model) {
model.addAttribute("memeber", member);
return "members/signup";
}
@PostMapping("/signup")
public String signupProcessing(@ModelAttribute @Valid Member member, Errors errors) {
if(errors.hasErrors()) {
return "members/signup";
}
Member existsMember = service.loadByUsername(member.getUsername());
if(existsMember != null) {
errors.rejectValue("username", "field.exists.member.username");
return "members/signup";
}
member.setPassword(passwordEncoder.encode(member.getPassword()));
service.register(member);
return "redirect:/signin";
}
@GetMapping("/signin")
public String signinForm() {
return "members/signin";
}
}
signupForm 메서드는 회원가입 폼 페이지이다. member 객체를 모델에 추가하는것은 회원가입시 Validation을 위해서 추가한다. signupProcessing 메서드는 member API에 폼데이터의 username 이 이미 존재하는지 확인하고 존재한다면 validation에서 걸리도록 추가하고, 다시 view페이지로 forward한다.
vaildation이 다 끝나면 register 메서드를 호출하기 전에 폼데이터로 전달받은 password값을 passwordEncoder(BCrypt)로 인코딩해서 암호화한 값을 전달한다. Member 서버에서는 암호화된 값만을 영속성에 보유한다.
signinForm 메서드는 로그인 폼 페이지를 보여준다. 로그인 처리는 spring security가 담당한다. 그러므로 폼페이지만 구현하면 된다.
이전글: 냉장고 가계부 프로젝트 31
다음글: 냉장고 가계부 프로젝트 33