>  기사  >  Java  >  Spring Boot를 사용하여 보안 인증 및 권한 관리를 구현하는 방법

Spring Boot를 사용하여 보안 인증 및 권한 관리를 구현하는 방법

王林
王林원래의
2023-06-22 12:53:201950검색

인터넷이 발달하면서 애플리케이션의 보안이 매우 중요해졌으며, 모든 프로그래머는 보안 문제에 주의를 기울여야 합니다. Spring 프레임워크는 대규모 엔터프라이즈 수준 애플리케이션에서 널리 사용되므로 Spring Boot는 웹 애플리케이션을 개발하는 데 매우 널리 사용됩니다. 이 기사에서는 Spring Boot를 사용하여 보안 인증 및 권한 관리를 구현하는 방법을 알아봅니다.

1. 인증 및 권한 부여

Spring Boot의 보안 인증 및 권한 부여 구현에 대해 논의하기 전에 인증 및 권한 부여가 무엇인지 이해해야 합니다.

인증은 법인의 신원이 합법적인지 확인하는 것입니다. 웹 애플리케이션에서는 일반적으로 사용자가 합법적인 사용자인지 확인하는 것입니다.

승인은 적법함을 확인한 후 개체에 특정 작업 권한을 부여하는 것입니다. 웹 애플리케이션에서는 사용자가 요청한 리소스에 대한 적절한 액세스 권한을 가지고 있는지 확인하는 것이 일반적입니다.

2. Spring Boot 보안 프레임워크

Spring Boot는 웹 애플리케이션에 대한 보안 인증 및 권한 관리를 쉽게 구현할 수 있는 보안 프레임워크를 제공합니다. Spring Security는 Spring Boot 보안 프레임워크의 일부입니다. 애플리케이션이 안전하게 실행될 수 있도록 구성 가능한 프레임워크를 제공합니다.

Spring Security는 다음 기능을 제공합니다.

2. HTTPS 지원

3. 도메인 간 요청 지원

5. LDAP 지원

7, OpenID 지원

8, OAuth 2.0 지원

3. Spring Boot 보안 구성

Spring Boot를 사용하여 보안 인증 및 권한 부여를 구현하기 전에 Spring Boot의 보안 구성을 이해해야 합니다.

Spring Boot는 Java 구성 및 주석을 사용하여 보안을 구성합니다. 보안 구성은 보안을 활성화하기 위해 @EnableWebSecurity로 주석이 달린 클래스에 정의된 다음, 보안을 구성하기 위해 WebSecurityConfigurerAdapter에서 상속되는 클래스를 정의합니다.

다음은 기본 Spring Boot 보안 구성의 예입니다.

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/admin/**").hasRole("ADMIN")
                .antMatchers("/user/**").hasAnyRole("ADMIN", "USER")
                .anyRequest().authenticated()
                .and()
            .formLogin()
                .loginPage("/login")
                .permitAll()
                .and()
            .logout()
                .permitAll();
    }
    
    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {
        auth
            .inMemoryAuthentication()
                .withUser("admin").password("admin").roles("ADMIN")
                .and()
                .withUser("user").password("user").roles("USER");
    }
}

위 구성에서는 @EnableWebSecurity 주석을 사용하여 보안을 활성화한 다음 WebSecurityConfigurerAdapter에서 상속되는 클래스를 정의합니다.

configure() 메소드는 애플리케이션이 HTTP 요청 보안 규칙 설정을 시작할 때 호출됩니다. 이 예에서는 세 가지 규칙을 정의합니다:

1. /admin/으로 시작하는 모든 URL은 ADMIN 역할을 가진 사용자만 액세스할 수 있습니다.

2. /user/로 시작하는 모든 URL은 ADMIN 또는 USER 역할의 사용자가 액세스할 수 있도록 허용합니다.

3. 기타 모든 요청에는 인증이 필요합니다.

formLogin() 메소드는 로그인 양식의 위치를 ​​정의하고 모든 사용자가 로그인 양식에 액세스할 수 있도록 허용합니다.

logout() 메소드는 로그아웃 기능을 설정하고 모든 사용자에게 접근을 허용합니다.

configureGlobal() 메서드는 사용자 이름, 비밀번호, 할당된 역할을 포함하여 메모리 내 인증 체계를 구성합니다.

이것은 단순한 예일 뿐이며 다양한 Spring Security 옵션을 사용하여 더 복잡한 보안 구성을 설정할 수 있습니다.

4. 인증 공급자

위 구성 예에서는 메모리 내 인증 체계를 사용했습니다. 그러나 실제로 우리는 일반적으로 사용자 정보를 저장하기 위해 데이터베이스를 사용합니다. Spring Security는 인증을 처리하기 위한 인증 공급자를 제공합니다.

Spring Security에서 인증 공급자는 인증을 수행하기 위해 authenticate() 메서드를 구현해야 하는 인터페이스입니다. 인증 공급자는 메모리 내, 관계형 데이터베이스 또는 LDAP 기반 등일 수 있습니다.

다음은 데이터베이스 기반 인증 공급자의 예입니다.

@Service
public class UserDetailsServiceImp implements UserDetailsService {
    @Autowired
    private UserRepository userRepository;

    @Override
    public UserDetails loadUserByUsername(String username) throws UsernameNotFoundException {
        User user = userRepository.findByName(username);
        if (user == null) {
            throw new UsernameNotFoundException("User not found");
        }
        return new org.springframework.security.core.userdetails.User(user.getName(), user.getPassword(),
                AuthorityUtils.createAuthorityList(user.getAuthorities()));
    }
}

위 코드에서는 UserDetailsService 인터페이스를 구현하는 UserDetailsServiceImp 클래스를 정의했습니다. loadUserByUsername() 메소드는 데이터베이스에서 사용자 정보를 로드하고 사용자 이름, 비밀번호 및 권한이 포함된 Spring Security의 UserDetails 객체를 반환합니다.

5. 권한 관리

Spring Boot에서는 역할 기반 권한 관리를 위해 Spring Security를 ​​사용할 수 있습니다. Spring Security는 권한 관리를 위해 선언적 방식과 프로그래밍 방식이라는 두 가지 방법을 제공합니다.

1. 선언적

선언적 인증에서는 @PreAuthorize 및 @PostAuthorize 주석을 사용하여 액세스 제어 규칙을 설정할 수 있습니다. @PreAuthorize는 메서드에 액세스하기 전에 충족해야 하는 조건을 지정하는 데 사용되며, @PostAuthorize는 반환하기 전에 충족해야 하는 조건을 지정하는 데 사용됩니다.

다음은 선언 기반 권한 관리의 예입니다.

@Service
public class ProductService {
    @PreAuthorize("hasRole('ROLE_ADMIN')")
    public void addProduct() {
        // add product
    }
    
    @PreAuthorize("hasRole('ROLE_USER')")
    @PostAuthorize("returnObject.owner == authentication.name")
    public Product findProductByName(String name) {
        // find product by name
    }
}

위 코드에서는 addProduct() 및 findProductByName() 메서드에 @PreAuthorize 주석을 추가하여 액세스 제어 규칙을 설정했습니다.

addProduct() 메소드에서는 ROLE_ADMIN 역할을 가진 사용자가 이 메소드에 액세스하도록 제한합니다.

findProductByName() 메소드에서는 ROLE_USER 역할을 가진 사용자가 메소드에 액세스하도록 제한하고 @PostAuthorize 주석을 사용하여 다른 액세스 제어 규칙을 설정하여 반품된 제품에만 인증된 소유자가 있는지 확인합니다. 사용자는 동일합니다.

2. 프로그래밍 방식

프로그래밍 방식 인증에서는 Spring Security API를 사용하여 액세스 제어 규칙을 설정할 수 있습니다.

다음은 프로그래밍 방식의 인증 관리의 예입니다.

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Autowired
    private UserService userService;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/admin/**").hasRole("ADMIN")
                .antMatchers("/user/**").hasAnyRole("ADMIN", "USER")
                .anyRequest().authenticated()
                .and()
            .formLogin()
                .loginPage("/login")
                .permitAll()
                .and()
            .logout()
                .permitAll()
                .and()
            .csrf().disable()
            .exceptionHandling().accessDeniedHandler(accessDeniedHandler());
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) throws Exception {
        auth.userDetailsService(userService).passwordEncoder(passwordEncoder());
    }
    
    @Bean
    public AccessDeniedHandler accessDeniedHandler(){
        return new CustomAccessDeniedHandler();
    }
    
    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
}

在上面的代码中,我们定义了一个UserService类来处理用户信息,并在configure()方法中使用了accessDeniedHandler()方法来定制访问被拒绝时的错误信息。

我们还实现了一个CustomAccessDeniedHandler类来自定义访问被拒绝时的响应。

最后,我们使用了PasswordEncoder来编码密码。

六、结论

在本文中,我们了解了如何使用Spring Boot实现安全认证和授权管理。我们已经讨论了Spring Boot安全框架、安全配置、身份验证提供器和授权管理等关键概念。我们还讨论了如何使用声明式和编程式授权管理。通过使用Spring Boot的安全框架,我们可以轻松地为Web应用程序提供安全性,并确保应用程序可以安全地运行。

위 내용은 Spring Boot를 사용하여 보안 인증 및 권한 관리를 구현하는 방법의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!

성명:
본 글의 내용은 네티즌들의 자발적인 기여로 작성되었으며, 저작권은 원저작자에게 있습니다. 본 사이트는 이에 상응하는 법적 책임을 지지 않습니다. 표절이나 침해가 의심되는 콘텐츠를 발견한 경우 admin@php.cn으로 문의하세요.