오늘날 웹 애플리케이션에서 인증과 권한 부여는 매우 중요한 요소이며, OAuth2는 이를 구현하는 데 널리 사용되는 표준입니다. 본 강좌에서는 스프링 부트를 사용하여 OAuth2 기반의 로그인 및 로그아웃 기능을 구현하는 방법에 대해 자세히 알아보겠습니다. 이 강좌의 목표는 스프링 부트 애플리케이션에서 OAuth2를 통해 안전한 인증 방식을 적용하고, 이를 테스트하는 방법을 배우는 것입니다.
1. OAuth2란?
OAuth2(오AUTH 2.0)는 인터넷 사용자들이 제3자 애플리케이션에 자신의 정보를 노출하지 않고도 다른 서비스에서 자신의 계정을 사용할 수 있도록 허용하는 권한 부여 프레임워크입니다. 기본적으로 OAuth2는 엑세스 토큰을 기반으로 작업하며, 이 토큰을 통해 사용자는 자신의 데이터에 접근할 수 있습니다. 이 과정에서 사용자의 비밀번호를 공유할 필요가 없습니다.
1.1 OAuth2의 구성 요소
- Resource Owner: 자원 소유자, 일반적으로 사용자입니다.
- Client: 자원 소유자가 서비스를 요청하는 애플리케이션입니다.
- Authorization Server: 클라이언트의 요청을 인증하고 동의 후 엑세스 토큰을 발급하는 서버입니다.
- Resource Server: 보호된 자원(예: 사용자 데이터)에 접근할 수 있는 서버입니다.
1.2 OAuth2 흐름
OAuth2의 인증 흐름은 다음과 같이 진행됩니다:
- 사용자가 클라이언트를 통해 Authorization Server에 인증 요청을 보냅니다.
- 사용자가 인증을 성공적으로 수행하면 Authorization Server는 클라이언트에 엑세스 토큰을 발급합니다.
- 클라이언트는 발급받은 엑세스 토큰을 Resource Server에 전송하여 보호된 자원에 접근합니다.
2. 스프링 부트 환경 설정
스프링 부트 환경을 설정하기 위해서는 먼저 필요한 의존성을 추가해야 합니다. 이를 위해 먼저 Spring Initializr를 활용하여 프로젝트를 생성합니다.
2.1 Spring Initializr에서 프로젝트 생성하기
다음과 같은 설정으로 스프링 부트 프로젝트를 생성합니다:
- Project: Maven Project
- Language: Java
- Spring Boot: 2.6.3 (최신 버전을 선택합니다)
- Dependencies: Spring Web, Spring Security, Spring Data JPA, H2 Database
2.2 pom.xml 파일 수정하기
다음으로, pom.xml 파일에 OAuth2 관련 의존성을 추가합니다:
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-oauth2-client</artifactId>
</dependency>
<dependency>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-oauth2-resource-server</artifactId>
</dependency>
3. OAuth2 설정
OAuth2을 설정하기 위해 application.yml 파일을 수정하여 Authorization Server와 Resource Server 정보를 입력합니다.
spring:
security:
oauth2:
client:
registration:
google:
client-id: YOUR_CLIENT_ID
client-secret: YOUR_CLIENT_SECRET
scope:
- profile
- email
redirect-uri: "{baseUrl}/login/oauth2/code/{registrationId}"
provider:
google:
authorization-uri: https://accounts.google.com/o/oauth2/auth
token-uri: https://oauth2.googleapis.com/token
user-info-uri: https://www.googleapis.com/oauth2/v3/userinfo
user-name-attribute: sub
4. 스프링 시큐리티 설정
스프링 시큐리티를 설정하여 인증과 인가를 처리합니다. 다음은 기본적인 시큐리티 설정 클래스 예제입니다:
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
@Override
protected void configure(HttpSecurity http) throws Exception {
http
.authorizeRequests()
.antMatchers("/", "/login").permitAll()
.anyRequest().authenticated()
.and()
.oauth2Login();
}
}
5. 사용자 정보 가져오기
사용자가 인증에 성공하면, OAuth2 클라이언트를 통해 사용자 정보를 가져옵니다. 이를 위해 컨트롤러를 만듭니다.
import org.springframework.security.core.annotation.AuthenticationPrincipal;
import org.springframework.security.oauth2.core.user.OAuth2User;
import org.springframework.web.bind.annotation.GetMapping;
import org.springframework.web.bind.annotation.RestController;
@RestController
public class UserController {
@GetMapping("/user")
public OAuth2User getUser(@AuthenticationPrincipal OAuth2User principal) {
return principal;
}
}
6. 테스트 및 실행
애플리케이션을 실행하고 웹 브라우저에서 http://localhost:8080에 접근합니다. 사용자는 로그인 버튼을 클릭하여 Google 로그인 페이지로 리디렉션됩니다. 로그인 후, /user 경로를 통해 자신의 사용자 정보를 확인할 수 있습니다.
결론
이번 강좌에서는 스프링 부트를 사용하여 OAuth2를 통해 로그인 및 로그아웃 기능을 구현하는 방법을 살펴보았습니다. 이 과정에서 OAuth2의 기본 개념, 필요한 의존성 설정, 스프링 시큐리티 설정 및 사용자 정보 가져오기를 배웠습니다. 이러한 과정을 통해 여러분의 웹 애플리케이션에 보다 안전한 로그인 기능을 추가할 수 있게 되었습니다.