1. 개요

Spring Security 5 는 외부 Authorization Server를 구성하는 데 사용할 수 있는 새로운 OAuth2LoginConfigurer 클래스를 소개합니다 .

이 기사에서는 oauth2Login () 요소에 사용할 수있는 다양한 구성 옵션 중 일부를 살펴 보겠습니다 .

2. Maven 의존성

Spring Boot 프로젝트에서 필요한 것은 시작 기 spring-boot-starter-oauth2-client 를 추가하는 것입니다 .

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-oauth2-client</artifactId>
    <version>2.3.3.RELEASE</version>
</dependency>

non-Boot 프로젝트에서는 표준 Spring 및 Spring Security 의존성 외에도 spring-security-oauth2-clientspring-security-oauth2-jose 의존성 을 명시 적으로 추가해야합니다 .

<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-oauth2-client</artifactId>
    <version>5.3.4.RELEASE</version>
</dependency>
<dependency>
    <groupId>org.springframework.security</groupId>
    <artifactId>spring-security-oauth2-jose</artifactId>
    <version>5.3.4.RELEASE</version>
</dependency>

3. 클라이언트 설정

Spring Boot 프로젝트에서는 구성하려는 각 클라이언트에 대해 몇 가지 표준 속성을 추가하기 만하면됩니다.

Google 및 Facebook에 인증 제공 업체로 등록 된 클라이언트로 로그인하기위한 프로젝트를 설정해 보겠습니다.

3.1. 클라이언트 자격 증명 얻기

Google OAuth2 인증을위한 클라이언트 자격 증명을 얻으려면 Google API 콘솔 – "자격 증명"섹션으로 이동하십시오.

여기에서는 웹 애플리케이션에 대한 "OAuth2 클라이언트 ID"유형의 자격 증명을 생성합니다. 이로 인해 Google이 클라이언트 ID와 비밀을 설정합니다.

또한 사용자가 Google에 성공적으로 로그인 한 후 리디렉션되는 경로 인 Google Console에서 승인 된 리디렉션 URI를 구성해야합니다.

기본적으로 Spring Boot는이 리디렉션 URI를 / login / oauth2 / code / {registrationId}로 구성합니다. 따라서 Google의 경우 URI를 추가합니다.

http://localhost:8081/login/oauth2/code/google

Facebook 인증을위한 클라이언트 자격 증명을 얻으려면 Facebook for Developers 웹 사이트 에 애플리케이션을 등록 하고 해당 URI를 "유효한 OAuth 리디렉션 URI"로 설정해야합니다.

http://localhost:8081/login/oauth2/code/facebook

3.3. Security 구성

다음으로 application.properties 파일에 클라이언트 자격 증명을 추가해야 합니다. Spring Security 속성은 "spring.security.oauth2.client.registration" 접두어와 클라이언트 이름, 클라이언트 속성의 이름이 뒤 따릅니다.

spring.security.oauth2.client.registration.google.client-id=<your client id>
spring.security.oauth2.client.registration.google.client-secret=<your client secret>

spring.security.oauth2.client.registration.facebook.client-id=<your client id> 
spring.security.oauth2.client.registration.facebook.client-secret=<your client secret>

하나 이상의 클라이언트에 대해 이러한 속성을 추가 하면 필요한 모든 빈을 설정 하는 Oauth2ClientAutoConfiguration 클래스 가 활성화됩니다 .

자동 웹 Security 구성은 간단한 oauth2Login () 요소 를 정의하는 것과 같습니다 .

@Configuration
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
         .anyRequest().authenticated()
         .and()
         .oauth2Login();
    }
}

여기에서 oauth2Login () 요소가 이미 알려진 httpBasic ()formLogin () 요소 유사한 방식으로 사용되는 것을 볼 수 있습니다 .

이제 보호 된 URL에 액세스하려고하면 응용 프로그램에 두 개의 클라이언트가있는 자동 생성 로그인 페이지가 표시됩니다.

3.4. 기타 클라이언트

Google 및 Facebook 외에도 Spring Security 프로젝트에는 GitHub 및 Okta에 대한 기본 구성도 포함되어 있습니다. 이러한 기본 구성은 인증에 필요한 모든 정보를 제공하므로 클라이언트 자격 증명 만 입력 할 수 있습니다.

Spring Security에 구성되지 않은 다른 인증 공급자를 사용하려면 권한 부여 URI 및 토큰 URI와 같은 정보로 전체 구성을 정의해야합니다. 여기에 Spring Security의 기본 구성에서 'SA 모양은 필요한 속성의 생각을 가지고 있습니다.

4. 비 부팅 프로젝트에서 설정

4.1. ClientRegistrationRepository Bean 생성

Spring Boot 애플리케이션으로 작업하지 않는 경우 권한 부여 서버가 소유 한 클라이언트 정보의 내부 표현을 포함하는 ClientRegistrationRepository을 정의해야 합니다.

@Configuration
@EnableWebSecurity
@PropertySource("classpath:application.properties")
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    private static List<String> clients = Arrays.asList("google", "facebook");

    @Bean
    public ClientRegistrationRepository clientRegistrationRepository() {
        List<ClientRegistration> registrations = clients.stream()
          .map(c -> getRegistration(c))
          .filter(registration -> registration != null)
          .collect(Collectors.toList());
        
        return new InMemoryClientRegistrationRepository(registrations);
    }
}

여기 에서는 ClientRegistration 개체 List을 사용 하여 InMemoryClientRegistrationRepository만듭니다 .

4.2. ClientRegistration 개체 빌드

이러한 객체를 빌드 하는 getRegistration () 메서드를 살펴 보겠습니다 .

private static String CLIENT_PROPERTY_KEY 
  = "spring.security.oauth2.client.registration.";

@Autowired
private Environment env;

private ClientRegistration getRegistration(String client) {
    String clientId = env.getProperty(
      CLIENT_PROPERTY_KEY + client + ".client-id");

    if (clientId == null) {
        return null;
    }

    String clientSecret = env.getProperty(
      CLIENT_PROPERTY_KEY + client + ".client-secret");
 
    if (client.equals("google")) {
        return CommonOAuth2Provider.GOOGLE.getBuilder(client)
          .clientId(clientId).clientSecret(clientSecret).build();
    }
    if (client.equals("facebook")) {
        return CommonOAuth2Provider.FACEBOOK.getBuilder(client)
          .clientId(clientId).clientSecret(clientSecret).build();
    }
    return null;
}

여기서는 유사한 application.properties 파일 에서 클라이언트 자격 증명을 읽은 다음 Google 및 Facebook 클라이언트의 나머지 클라이언트 속성에 대해 Spring Security에 이미 정의 된 CommonOauth2Provider 열거 형 을 사용합니다 .

ClientRegistration 인스턴스는 클라이언트에 해당합니다.

4.3. ClientRegistrationRepository 등록

마지막으로 ClientRegistrationRepository 빈을 기반으로 OAuth2AuthorizedClientService을 생성하고 둘 다 oauth2Login () 요소에 등록해야합니다 .

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.authorizeRequests().anyRequest().authenticated()
      .and()
      .oauth2Login()
      .clientRegistrationRepository(clientRegistrationRepository())
      .authorizedClientService(authorizedClientService());
}

@Bean
public OAuth2AuthorizedClientService authorizedClientService() {
 
    return new InMemoryOAuth2AuthorizedClientService(
      clientRegistrationRepository());
}

여기에서 알 수 있듯이 oauth2Login ()clientRegistrationRepository () 메서드를 사용하여 사용자 지정 등록 저장소를 등록 할 수 있습니다.

또한 더 이상 자동으로 생성되지 않으므로 사용자 지정 로그인 페이지를 정의해야합니다. 이에 대한 자세한 정보는 다음 섹션에서 볼 수 있습니다.

로그인 프로세스의 추가 사용자 정의를 계속하겠습니다.

5. oauth2Login () 사용자 정의

OAuth 2 프로세스가 사용하고 oauth2Login () 메소드를 사용하여 사용자 정의 할 수있는 몇 가지 요소가 있습니다 .

이러한 모든 요소에는 Spring Boot의 기본 구성이 있으며 명시 적 구성이 필요하지 않습니다.

구성에서이를 사용자 정의하는 방법을 살펴 보겠습니다.

5.1. 사용자 정의 로그인 페이지

Spring Boot가 기본 로그인 페이지를 생성하지만 일반적으로 사용자 정의 페이지를 정의하고 싶습니다.

loginPage () 메서드를 사용하여 oauth2Login () 요소에 대한 새 로그인 URL 구성부터 시작하겠습니다 .

@Override
protected void configure(HttpSecurity http) throws Exception {
    http.authorizeRequests()
      .antMatchers("/oauth_login")
      .permitAll()
      .anyRequest()
      .authenticated()
      .and()
      .oauth2Login()
      .loginPage("/oauth_login");
}

여기에서 로그인 URL을 / oauth_login으로 설정했습니다.

다음 으로이 URL에 매핑되는 메소드 LoginController정의 해 보겠습니다 .

@Controller
public class LoginController {

    private static String authorizationRequestBaseUri
      = "oauth2/authorization";
    Map<String, String> oauth2AuthenticationUrls
      = new HashMap<>();

    @Autowired
    private ClientRegistrationRepository clientRegistrationRepository;

    @GetMapping("/oauth_login")
    public String getLoginPage(Model model) {
        // ...

        return "oauth_login";
    }
}

이 메소드는 사용 가능한 클라이언트의 맵과 해당 인증 엔드 포인트를 뷰로 보내야합니다 . 이는 ClientRegistrationRepository에서 얻을 수 있습니다 .

public String getLoginPage(Model model) {
    Iterable<ClientRegistration> clientRegistrations = null;
    ResolvableType type = ResolvableType.forInstance(clientRegistrationRepository)
      .as(Iterable.class);
    if (type != ResolvableType.NONE && 
      ClientRegistration.class.isAssignableFrom(type.resolveGenerics()[0])) {
        clientRegistrations = (Iterable<ClientRegistration>) clientRegistrationRepository;
    }

    clientRegistrations.forEach(registration -> 
      oauth2AuthenticationUrls.put(registration.getClientName(), 
      authorizationRequestBaseUri + "/" + registration.getRegistrationId()));
    model.addAttribute("urls", oauth2AuthenticationUrls);

    return "oauth_login";
}

마지막으로 oauth_login.html 페이지 를 정의해야 합니다.

<h3>Login with:</h3>
<p th:each="url : ${urls}">
    <a th:text="${url.key}" th:href="${url.value}">Client</a>
</p>

이것은 각 클라이언트를 인증하기위한 링크를 표시하는 간단한 HTML 페이지입니다.

스타일을 추가 한 후 로그인 페이지의 모양을 변경할 수 있습니다.

5.2. 사용자 지정 인증 성공 및 실패 동작

다른 방법을 사용하여 사후 인증 동작을 제어 할 수 있습니다.

  • defaultSuccessUrl ()failureUrl () – 사용자를 지정된 URL로 리디렉션합니다.
  • successHandler ()failureHandler () – 인증 프로세스 후에 사용자 정의 논리를 실행합니다.

사용자를 다음으로 리디렉션하도록 맞춤 URL을 설정하는 방법을 살펴 보겠습니다.

.oauth2Login()
  .defaultSuccessUrl("/loginSuccess")
  .failureUrl("/loginFailure");

사용자가 인증하기 전에 Security 페이지를 방문한 경우 로그인 후 해당 페이지로 리디렉션됩니다. 그렇지 않으면 / loginSuccess 로 리디렉션됩니다 .

사용자가 이전에 Security 페이지에 있었는지 여부에 관계없이 항상 / loginSuccess URL 로 전송 되도록 하려면 defaultSuccessUrl ( "/ loginSuccess", true) 메서드를 사용할 수 있습니다 .

커스텀 핸들러를 사용하려면 AuthenticationSuccessHandler 또는 AuthenticationFailureHandler 인터페이스 를 구현하는 클래스를 만들고 상속 된 메서드를 재정의 한 다음 successHandler () 및 failureHandler () 메서드를 사용하여 빈을 설정해야 합니다.

5.3. 사용자 지정 권한 부여 끝점

인증 엔드 포인트는 Spring Security가 외부 서버에 대한 인증 요청을 트리거하기 위해 사용하는 엔드 포인트입니다.

먼저 권한 부여 끝점에 대한 새 속성을 설정해 보겠습니다 .

.oauth2Login() 
  .authorizationEndpoint()
  .baseUri("/oauth2/authorize-client")
  .authorizationRequestRepository(authorizationRequestRepository());

여기서는 baseUri기본 / oauth2 / authorization 대신 / oauth2 / authorize-client수정했습니다 . 또한 정의해야하는 authorizationRequestRepository () 빈을 명시 적으로 설정합니다 .

@Bean
public AuthorizationRequestRepository<OAuth2AuthorizationRequest> 
  authorizationRequestRepository() {
 
    return new HttpSessionOAuth2AuthorizationRequestRepository();
}

이 예에서는 빈에 Spring 제공 구현을 사용했지만 사용자 정의 구현을 제공 할 수도 있습니다.

5.4. 커스텀 토큰 엔드 포인트

토큰 끝점 은 액세스 토큰을 처리합니다.

기본 응답 클라이언트 구현으로 tokenEndpoint ()명시 적으로 구성 해 보겠습니다 .

.oauth2Login()
  .tokenEndpoint()
  .accessTokenResponseClient(accessTokenResponseClient());

다음은 응답 클라이언트 빈입니다.

@Bean
public OAuth2AccessTokenResponseClient<OAuth2AuthorizationCodeGrantRequest> 
  accessTokenResponseClient() {
 
    return new NimbusAuthorizationCodeTokenResponseClient();
}

이 구성은 기본 구성과 동일하며 제공자와 인증 코드 교환을 기반으로하는 Spring 구현을 사용하고 있습니다.

물론 사용자 지정 응답 클라이언트로 대체 할 수도 있습니다.

5.5. 사용자 지정 리디렉션 끝점

외부 공급자 인증 후 리디렉션 할 끝점입니다.

리디렉션 끝점에 대한 baseUri변경하는 방법을 살펴 보겠습니다 .

.oauth2Login()
  .redirectionEndpoint()
  .baseUri("/oauth2/redirect")

기본 URI는 login / oauth2 / code입니다.

변경하는 경우 ClientRegistrationredirectUriTemplate 속성도 업데이트 하고 새 URI를 각 클라이언트에 대한 승인 된 리디렉션 URI로 추가해야합니다.

5.6. 사용자 지정 사용자 정보 끝점

사용자 정보 끝점은 사용자 정보를 얻기 위해 활용할 수있는 위치입니다.

userInfoEndpoint () 메서드를 사용하여이 끝점을 사용자 지정할 수 있습니다 . 이를 위해 userService ()customUserType ()같은 메소드를 사용 하여 사용자 정보를 검색하는 방법을 수정할 수 있습니다.

6. 사용자 정보 액세스

우리가 달성하고자하는 일반적인 작업은 로그인 한 사용자에 대한 정보를 찾는 것입니다. 이를 위해 사용자 정보 엔드 포인트에 요청할 수 있습니다.

먼저 현재 사용자 토큰에 해당하는 클라이언트를 가져와야합니다.

@Autowired
private OAuth2AuthorizedClientService authorizedClientService;

@GetMapping("/loginSuccess")
public String getLoginInfo(Model model, OAuth2AuthenticationToken authentication) {
    OAuth2AuthorizedClient client = authorizedClientService
      .loadAuthorizedClient(
        authentication.getAuthorizedClientRegistrationId(), 
          authentication.getName());
    //...
    return "loginSuccess";
}

다음으로 클라이언트의 사용자 정보 엔드 포인트에 요청을 보내고 userAttributes 맵을 검색합니다 .

String userInfoEndpointUri = client.getClientRegistration()
  .getProviderDetails().getUserInfoEndpoint().getUri();

if (!StringUtils.isEmpty(userInfoEndpointUri)) {
    RestTemplate restTemplate = new RestTemplate();
    HttpHeaders headers = new HttpHeaders();
    headers.add(HttpHeaders.AUTHORIZATION, "Bearer " + client.getAccessToken()
      .getTokenValue());
    HttpEntity entity = new HttpEntity("", headers);
    ResponseEntity <map>response = restTemplate
      .exchange(userInfoEndpointUri, HttpMethod.GET, entity, Map.class);
    Map userAttributes = response.getBody();
    model.addAttribute("name", userAttributes.get("name"));
}

name 속성을 Model 속성 으로 추가하여 loginSuccess 보기에 사용자에게 환영 메시지로 표시 할 수 있습니다 .

외에 이름, userAttributesMap는 또한 다음과 같은 속성이 포함되어 이메일, FAMILY_NAME, 사진, 로케일.

7. 결론

이 기사에서는 Spring Security oauth2Login () 요소를 사용하여 Google 및 Facebook과 같은 다른 공급자를 인증 하는 방법을 살펴 보았습니다 . 또한이 프로세스를 사용자 지정하는 몇 가지 일반적인 시나리오를 살펴 보았습니다.

예제의 전체 소스 코드는 GitHub 에서 찾을 수 있습니다 .