스프링 프레임워크에 Spring Security + salt 초간단 적용하기
Spring Security 를 적용하기위한 Filter를 등록한다.
<filter>
<filter-name>springSecurityFilterChain</filter-name>
<filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class>
</filter>
<filter-mapping>
<filter-name>springSecurityFilterChain</filter-name>
<url-pattern>/*</url-pattern>
</filter-mapping>
관련 설정을 저장할 xml파일을 Context에 추가등록한다.
내껀 Context-* 이기때문에 변경할게 없다.
일부 설명은 발췌
<intercept-url pattern="/login" access="permitAll" />
<intercept-url pattern="/-" access="hasRole('ROLE_USER')"/>
<form-login login-page="/login" username-parameter="username" password-parameter="password" login-processing-url="/authentication" />
login-page : 로그인이 요청될 시에 이동할 URL을 설정합니다.
username-parameter : 로그인 아이디의 파라미터명 즉 name필드값을 설정합니다.
passoword-parameter : 비밀번호의 파라미터 명을 설정합니다.
login-processing-url : 폼에서 전송할 URL 값을 설정합니다. (action=login-processing-url)
여기서 주의할 점은 로그인 URL 인터셉터를 모든 리소스를 차단하는 인터셉터의 위쪽으로 배치시켜야 한다는 것입니다. 만약 그렇지 않다면 리디렉션 순환 오류로 정상적인 로그인 창이 뜨지 않으실 겁니다
<logout invalidate-session="true" logout-url="/unAuthentication" logout-success-url="/" />
invaldate-session : 세션을 모두 무효로 할 것인지를 사용자에게 묻습니다.
logout-url : 로그아웃 경로를 설정합니다.
logout-seccess-url : 로그아웃이 성공한 뒤에 이동한 경로를 설정합니다.
가장만저 만들어야할게 로그인을 위한 jdbcManager를 만들어줘야한다.
만든다는 개념보다는 상속받아 필요한부분을 추가한다.
기존 org.springframework.security.provisioning.JdbcUserDetailsManager 를 사용하고있었는데
salt관련 처리가 없다 그렇기때문에 SaltedUserDetailsManager 란 클래스를 만들어서 해당클래스를 상속하였다.
public class SaltedUserDetailsManager extends JdbcUserDetailsManager
{
private static final Logger logger = LoggerFactory.getLogger(SaltedUserDetailsManager.class);
public UserDetails loadUserByUsername(String userId)
{
final List<GrantedAuthority> groupAuthorities = super.loadGroupAuthorities(userId);
for(GrantedAuthority authority : groupAuthorities)
{
logger.info("user authority : {} ",authority.getAuthority());
}
UserDetails user = getJdbcTemplate().queryForObject(
super.getUsersByUsernameQuery(),
new String[]{userId},
new RowMapper<UserDetails>(){
public UserDetails mapRow(ResultSet rs, int rowNum) throws SQLException
{
String userId = rs.getString(1);
String password = rs.getString(2);
boolean enabled = rs.getBoolean(3);
String salt = rs.getString(4);
logger.info("user id : {} ",userId);
logger.info("user pw : {} ",password);
logger.info("user useable : {} ",enabled);
logger.info("user salt : {} ",salt);
return new SaltedUser(userId, password, enabled, true, true, true, groupAuthorities, salt);
}
}
);
return user;
}
}
이러면 기존 org.springframework.security.core.userdetails.User 타입을 반환하게 되있는데 역시 salt가 없다.
당연히 추가해야한다.
public class SaltedUser extends User
{
private String salt;
public SaltedUser( String username,
String password,
boolean enabled,
boolean accountNonExpired,
boolean credentialsNonExpired,
boolean accountNonLocked,
Collection<? extends GrantedAuthority> authorities,
String salt)
{
super(username, password, enabled, accountNonExpired, credentialsNonExpired, accountNonLocked, authorities);
this.salt = salt;
}
public String getSalt()
{
return salt;
}
public void setSalt(String salt)
{
this.salt = salt;
}
}
이거면 로그인에필요한 자바쪽 작업은 끝났다.
context에 bean을 추가해준다.
쿼리는 컬럼명이중요한게 아니라 순서가 중요한거다. 이정돈 알겟지?
사실나는 별생각없이 적용했기때문에 테이블쪽 설계를 안햇다. 그래서 1개테이블로 그룹없고 권한단순하게 일단했다.
근데 enableGroups 옵션을 false해도 자꾸 에러나길래 봣더니 기존 default쿼리를 때리고있었다.
안써도 일단 추가햇다.
<bean id="jdbcUserService" class="kr.iwallet.SaltedUserDetailsManager"
p:dataSource-ref="dataSource"
p:enableGroups="false"
p:usersByUsernameQuery="SELECT ID , PWD, ENABLED, SALT FROM USER_TABLE WHERE ID=?"
p:authoritiesByUsernameQuery="SELECT ID AS USERNAME, ROLE AS AUTHORITY FROM USER_TABLE WHERE ID=?"
p:groupAuthoritiesByUsernameQuery="SELECT ID , PWD, ENABLED, SALT FROM USER_TABLE WHERE ID=?"
/>
그리고 encoder와 salt쪽 설정을 추가한다.
userPropertyToUse 가 salt 인이유는 소스를 함 열어봐라. 내가위에서 Users를 왜 상속해서 새로만들었는지 알수있다.
<bean id="saltSource" class="org.springframework.security.authentication.dao.ReflectionSaltSource">
<property name="userPropertyToUse" value="salt"/>
</bean>
<bean id="passwordEncoder" class="org.springframework.security.authentication.encoding.ShaPasswordEncoder" />
마지막으로 해당 bean들을 사용할수있게 세팅.
<security:authentication-manager>
<security:authentication-provider user-service-ref="jdbcUserService">
<security:password-encoder ref="passwordEncoder">
<security:salt-source ref="saltSource"/>
</security:password-encoder>
</security:authentication-provider>
</security:authentication-manager>
이럼 password와 salt 컬럼의값을 더하고 암호화한값을 db의 password와 비교하게된다.
사용자를 추가하거나 수정할때는 암호화를하고 salt를 넣어야겟지?
salt는 임의의 랜덤한 값을 넣게되는데 나는 생성 수정당시의 시분초를 넣었다.
그래서 이렇게 암호화하면 끝
String encodePassword = passwordEncoder.encodePassword(pw,salt);
'Dev' 카테고리의 다른 글
Java POI Excel 라이브러리 사용하기 (0) | 2014.03.13 |
---|---|
ASCII 코드표 (0) | 2014.02.28 |
스프링 프레임워크에 네이버 스마트 에디터 , 사진 퀵 업로더 적용하기 (2) | 2014.01.24 |
스프링 프레임워크에 파일업로드 적용 (0) | 2014.01.24 |
James Mail Server (1) | 2010.08.24 |