[Spring Security6] 사용자 인증

 

 

 

스프링 시큐리티의 AuthenticationProvider는 사용자가 로그인 할 때 아이디와 비밀번호를 검증하는 역할을 수행한다.

 

기본적으로 DaoAuthenticationProvider 구현체를 사용해 데이터베이스에서 사용자 정보를 조회한 후 제공된 자격을 검증하는데, 기본 구현체가 요구사항을 충족시키지 못하는 경우 해당 인터페이스를 직접 구현해 맞춤형 검증 로직을 작성할 수 있다.

 

 

public interface AuthenticationProvider {

	Authentication authenticate(Authentication authentication) throws AuthenticationException;

	boolean supports(Class<?> authentication);

}

 

 

authenticate : 인증 요청을 처리한다. 인증에 성공한다면 Authentication 객체를 반환하고 실패하면 예외를 던진다.

supports : AuthenticationProvider가 특정 인증 유형을 제공하는지 판단한다. 

 

AuthenticationProvider 목록은 AuthenticationManager가 관리하고, 사용자로부터 인증 요청이 들어오면 AuthenticationManager는 등록된 AuthenticationProvider 목록을 순회하며 인증을 시도한다.

 

보통 하나의 AuthenticationProvider를 사용해도 충분하지만, 요구사항에 따라 여러 Provider를 사용할 수도 있다.

(SNS 로그인과 아이디, 비밀번호를 통한 로그인을 구현하려면 두 가지 Provider를 구현한다)

 

이 과정에서 supports 메서드를 사용해 해당 인증 요청을 처리할 수 있는지를 판단한다.

 

 

 

Authentication 객체는 현재 인증된 사용자의 세부 정보를 나타낸다.

 

public interface Authentication extends Principal, Serializable {

	Collection<? extends GrantedAuthority> getAuthorities();

	Object getCredentials();

	Object getDetails();

	Object getPrincipal();

	boolean isAuthenticated();

	void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException;

}

 

 

Principal : 현재 인증된 사용자를 나타낸다. 일반적으로 User객체를 넣는다.

Credentials : 보통 비밀번호를 의미한다. 인증된 후에는 보안을 위해 제거된다.

Authorities : 사용자에게 부여된 권한이다.

Details : 인증 관련 추가 세부 정보를 저장한다. (IP주소, 세션ID 등)

Authenticated : 인증 여부를 나타내는 값이다.

 

보통 Authenticate 객체는 SecurityContextHolder를 통해 애플리케이션 전반에서 접근할 수 있다.

 

 

@Component
public class UsernamePwdAuthenticationProvider implements AuthenticationProvider {


    private final CustomerRepository customerRepository;
    private final PasswordEncoder passwordEncoder;

    public UsernamePwdAuthenticationProvider(CustomerRepository customerRepository, PasswordEncoder passwordEncoder) {
        this.customerRepository = customerRepository;
        this.passwordEncoder = passwordEncoder;
    }

    @Override
    public Authentication authenticate(Authentication authentication) throws AuthenticationException {
        String username = authentication.getName();
        String pwd = authentication.getCredentials().toString();

        List<Customer> customer = customerRepository.findByEmail(username);
        
        if (customer.size() > 0) {
            if (passwordEncoder.matches(pwd, customer.get(0).getPwd())) {
                List<GrantedAuthority> authorities = new ArrayList<>();
                authorities.add(new SimpleGrantedAuthority(customer.get(0).getRole()));
                return new UsernamePasswordAuthenticationToken(username, pwd, authorities);
            } else {
                throw new BadCredentialsException("Invalid password!");
            }
        } else {
            throw new BadCredentialsException("No user registered with this details!");
        }
    }

    @Override
    public boolean supports(Class<?> authentication) {
        return (UsernamePasswordAuthenticationToken.class.isAssignableFrom(authentication));
    }
}


	public UsernamePasswordAuthenticationToken(Object principal, Object credentials,
			Collection<? extends GrantedAuthority> authorities) {
		super(authorities);
		this.principal = principal;
		this.credentials = credentials;
		super.setAuthenticated(true); // must use super, as we override
	}

 

 

이메일을 아이디로 사용하는 예시이다.

 

데이터베이스에서 정보를 가져오고 사용자가 입력한 정보와 비교해 일치하는지 확인한다.