[Spring] Spring Security(스프링 시큐리티) Form Login 인증

 

🌱 스프링 시큐리티가 기본적으로 제공하는 로그인 로직

form을 통해서 아이디와 비밀번호를 입력하면 세션 및 인증 토큰을 저장한다.

추후에는 해당 인증을 통해서 작업 가능하다.

 

 

로그인 API

여기서 덧붙여서 설명하면

 

• loginProcessingUrl : form 태그에 있는 action url , 타임리프 쓰면 th:action
• successHandler : 성공했을 때 내가 추가적으로 제어할 수 있는 핸들러
• failureHandler : 실패했을 때 내가 추가적으로 제어할 수 있는 핸들러 

👉 successUrl이란 failureUrl이랑 비슷하다는 생각을 할 수도 있겠지만 앞에 두 개는 url설정밖에 하지 못한다.

 

 

Controller

    @GetMapping("/loginPage")
    public String loginPage() {
        return "loginPage";
    }

 

SecurityConfig

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.AuthenticationException;
import org.springframework.security.web.SecurityFilterChain;
import org.springframework.security.web.authentication.AuthenticationFailureHandler;
import org.springframework.security.web.authentication.AuthenticationSuccessHandler;

import javax.servlet.ServletException;
import javax.servlet.http.HttpServletRequest;
import javax.servlet.http.HttpServletResponse;

import java.io.IOException;

@Configuration
@EnableWebSecurity
public class SecurityConfig {

    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {

        http.authorizeHttpRequests()
                        .anyRequest().authenticated();

        http
                .formLogin()
                .loginPage("/loginpage")
                .defaultSuccessUrl("/")
                .failureUrl("/login")
                .usernameParameter("userId")
                .passwordParameter("passwd")
                .loginProcessingUrl("/login_proc")
                .successHandler(new AuthenticationSuccessHandler() {
                    @Override
                    public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException {

                            System.out.println("authentication" + authentication.getName());

                            response.sendRedirect("/");
                    }
                })
                .failureHandler(new AuthenticationFailureHandler() {
                    @Override
                    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOException, ServletException {

                                System.out.println("exception" + exception.getMessage());

                                response.sendRedirect("/login");
                    }
                })
                .permitAll();

        return http.build();
    }


}

 

 

Login Form 인증

 

• UsernamePasswordAuthenticationFilter : 현재 사용자가 요청한 정보를 확인
• AntPathRequestMatcher : 요청 정보가 매칭되는지 확인 (디폴트 값은 /login)
  • Authentication : 요청 정보가 맞다면 사용자의 아이디, 패스워드로 인증 객체 생성
  • chain.doFilter : 요청 정보가 다르다면 filter 실행
• AuthenticationManager : AuthenticationProvider를 통해서 인증 객체 위임
  • AuthenticationProvider 클래스가 인증에 실패하면 AuthenticationException예외 발생 -> 인증 실패
  • 인증에 성공한다면 Authentication 캐시를 만들어서 객체에 저장하고 다시 Authentication Manager에게 넘김
• 초록색 Authentication : 넘겨받은 인증 객체를 받음 (최종적으로 성공한 유저 객체와 권한 정보를 가진 객체를 받음)
• SecurityContext : 해당 정보를 저장 (인증 객체 저장소) -> session에도 저장이 됨
• SuccessHandler : 성공 핸들러 작동

 

 

 

---

해당 글은 인프런의 스프링시큐리티-Spring Boot 기반으로 개발하는 Spring Security를 보고 작성한 글입니다.