Spring Security - 회원가입 강화

로그인 할 때 비밀번호 보안 처리하는 방법을 배워서 지난 포스팅에 구현하였다.

 

로그인 할 때 보안 처리 하는것도 중요하지만

애초에 강화하여 가입할 수 있을지 궁금증이 발생하였다.

 

보안 처리 된 패스워드를 읽어 오는 것이 가능한지 무지한 상태였기에

조금 찾아보면 가능하겠지 했다. 

(조금은 개뿔. ㅜㅜ 2일 걸렸다...........)

 

그래서 개인 프로젝트에는

회원 가입할 때 비밀번호를 보안처리하여 가입하는 것을 구현하고자 한다.

 

 

 

package org.example.account_book.Service;

import lombok.RequiredArgsConstructor;
import org.example.account_book.Entity.MemberEntity;
import org.example.account_book.Repository.LoginRepository;
import org.springframework.security.core.userdetails.User;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.core.userdetails.UserDetailsService;
import org.springframework.security.core.userdetails.UsernameNotFoundException;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.stereotype.Service;

import java.util.Optional;

@Service
@RequiredArgsConstructor
public class LoginService implements UserDetailsService {
    private final LoginRepository loginRepository;
    private final PasswordEncoder passwordEncoder;

    @Override
    public UserDetails loadUserByUsername(String email) throws UsernameNotFoundException {
        //회원 이메일이 존재하는지 조회
        Optional<MemberEntity> memberEntity = loginRepository.findByEmail(email);

        //조회한 데이터가 있으면
        if (memberEntity.isPresent()) {
            return User.withUsername(memberEntity.get().getEmail())
                    //passwordEncoder 비밀번호 보안작업
                    .password(passwordEncoder.encode(memberEntity.get().getPassword()))
                    .roles(memberEntity.get().getRoleType().name())
                    .build();

        } else { //조회된 데이터가 없으면
            throw new UsernameNotFoundException("존재하지 않는 회원입니다.");
        }
    }


}

 

 

 

package org.example.account_book.Service;

import lombok.RequiredArgsConstructor;
import org.springframework.security.authentication.AuthenticationProvider;
import org.springframework.security.authentication.UsernamePasswordAuthenticationToken;
import org.springframework.security.core.Authentication;
import org.springframework.security.core.userdetails.UserDetails;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.stereotype.Service;

import javax.security.auth.login.AccountException;
import javax.security.auth.login.LoginException;
import javax.security.sasl.AuthenticationException;


@Service
@RequiredArgsConstructor
public class AuthenticationProviderService implements AuthenticationProvider {
    private final LoginService loginService;
    private final PasswordEncoder passwordEncoder;

    @Override
    public Authentication authenticate(Authentication authentication) {
        //입력한 email
        String email = authentication.getName();
        //email로 회원 조회
        UserDetails user = loginService.loadUserByUsername(email);

        //입력한 패스워드
        String rawPassword = authentication.getCredentials().toString();
        //보안 처리 된 패스워드
        String hashPassword = user.getPassword();

        checkPassword(rawPassword, hashPassword);

        System.out.println(checkPassword(rawPassword, hashPassword));

        return new UsernamePasswordAuthenticationToken(email, rawPassword, user.getAuthorities());
    }

    private boolean checkPassword(String rawPassword, String hashPassword) {

        //입력한 패스워드와 DB에 보안 처리 되어 저장된 패스워드 비교
        if (passwordEncoder.matches(rawPassword, hashPassword)) {
            return true;
        }
        return false;
    }

    @Override
    public boolean supports(Class<?> authentication) {
        return UsernamePasswordAuthenticationToken.class.isAssignableFrom(authentication);
    }
}

 

 

 

1. 인증 처리
   • authenticate 메서드는 사용자의 이메일과 비밀번호를 받아 인증을 수행합니다.
   • 이메일을 사용하여 LoginService에서 사용자 정보를 가져옵니다.
   • 입력된 비밀번호와 데이터베이스에 저장된 암호화된 비밀번호를 PasswordEncoder를 사용하여 비교합니다.
   • 비밀번호가 일치하면 UsernamePasswordAuthenticationToken을 반환하여 인증 정보를 제공합니다.
2. 비밀번호 확인
   • checkPassword 메서드는 입력된 비밀번호와 데이터베이스에 저장된 암호화된 비밀번호를 PasswordEncoder를 사용하여 비교합니다.
   • 비밀번호가 일치하면 true를 반환하고, 그렇지 않으면 false를 반환합니다.
3. 지원 인증 토큰 확인
   • supports 메서드는 이 AuthenticationProvider가 UsernamePasswordAuthenticationToken 타입의 인증 토큰을 지원하는지 확인합니다.

 

이 코드는 Spring Security의 인증 프로세스에 통합되어 사용자의 이메일과 비밀번호를 안전하게 확인하고, 인증 정보를 제공합니다. 이를 통해 Spring Security 기반의 애플리케이션에서 안전한 사용자 인증을 구현할 수 있습니다.

 

 

 

 

 

참고자료

• https://shinsunyoung.tistory.com/78

Spring Security로 로그인/회원가입 프로젝트

 

 

• https://codingdog.tistory.com/entry/bcrypt%EB%8A%94-salt%EA%B0%80-%EB%A7%A4%EB%B2%88-%EB%8B%AC%EB%9D%BC%EC%A7%80%EB%8A%94%EB%8D%B0-match%EB%A5%BC-%EC%96%B4%EB%96%BB%EA%B2%8C-%EC%9E%98-%EC%8B%9C%ED%82%AC%EA%B9%8C%EC%9A%94

bcrypt는 salt가 매번 달라지는데 어떻게 match 판단을 그리 잘 할까요?

 

 

• https://jaykaybaek.tistory.com/36

[Spring Security] 로그인/로그아웃 구현 및 타임리프 적용