[작성자:] root

스프링 부트 백엔드 개발 강좌, OAuth2로 로그인 로그아웃 구현, 토큰 발급받기

최근 몇 년 동안 웹 애플리케이션의 보안성과 사용자 인증 방식은 급격히 변화하였습니다. 특히, OAuth2는 많은 웹 서비스에서 사용자 인증을 처리하는 표준으로 자리 잡았습니다. 본 강좌에서는 스프링 부트를 이용하여 OAuth2로 로그인 및 로그아웃 구현 방법과 토큰 발급 절차에 대해 자세히 설명드리겠습니다. 이 글을 통해 OAuth2의 기본 원리와 함께, 실제 애플리케이션 구축에 필요한 기술을 익히실 수 있을 것입니다.

1. OAuth2란 무엇인가?

OAuth2는 사용자 인증을 위한 프로토콜로, 사용자가 제삼자 서비스에 자신의 정보를 제공하지 않고도 권한을 부여할 수 있게 해줍니다. 이를 통해 앱이나 서비스가 사용자의 리소스에 접근할 수 있게 되는 것입니다. OAuth2의 주요 구성 요소는 다음과 같습니다:

  • 사용자(Resource Owner): 자신의 정보를 보호하고 관리하는 주체입니다.
  • 클라이언트(Client): 사용자 대신 리소스에 접근하려는 애플리케이션입니다.
  • 자원 서버(Resource Server): 보호된 리소스를 제공하는 서버입니다.
  • 인증 서버(Authorization Server): 사용자의 인증을 처리하고 클라이언트에 접근 토큰을 발급합니다.

2. 스프링 부트란?

스프링 부트(Spring Boot)는 자바의 스프링 프레임워크를 기반으로 한 프로젝트로, 빠르게 애플리케이션을 개발할 수 있도록 도와주는 플랫폼입니다. 스프링 부트는 다음과 같은 장점을 제공합니다:

  • 설정의 간소화: 기본값으로 설정된 다양한 설정 덕분에 복잡한 설정 없이도 빠르게 시작할 수 있습니다.
  • 자동 구성: 필요한 라이브러리를 간단히 추가함으로써 자동으로 구성할 수 있습니다.
  • 스타터 패키지: 여러 종속성과 설정을 규합한 스타터 패키지를 제공하여 개발 속도를 높입니다.

3. OAuth2 로그인 시스템 구축 준비하기

3.1 프로젝트 설정

스프링 부트 프로젝트를 시작하기 위해 먼저 Spring Initializr를 이용하여 기본 프로젝트를 생성합니다. 다음과 같은 의존성을 추가합니다:

  • Spring Web
  • Spring Security
  • OAuth2 Client
  • Spring Data JPA
  • H2 Database (개발용)

3.2 프로젝트 구조

        /src
        └── main
            ├── java
            │   └── com
            │       └── example
            │           └── oauth2demo
            │               ├── controller
            │               ├── model
            │               ├── repository
            │               ├── security
            │               └── service
            └── resources
                ├── application.properties
                └── static

3.3 application.properties 설정

OAuth2를 사용하기 위해 아래와 같은 설정을 해줍니다. Google OAuth2를 예로 들겠습니다:

        spring.security.oauth2.client.registration.google.client-id=YOUR_CLIENT_ID
        spring.security.oauth2.client.registration.google.client-secret=YOUR_CLIENT_SECRET
        spring.security.oauth2.client.registration.google.redirect-uri={baseUrl}/login/oauth2/code/{registrationId}
        spring.security.oauth2.client.registration.google.scope=profile, email
        spring.security.oauth2.client.provider.google.authorization-uri=https://accounts.google.com/o/oauth2/auth
        spring.security.oauth2.client.provider.google.token-uri=https://oauth2.googleapis.com/token
        spring.security.oauth2.client.provider.google.user-info-uri=https://www.googleapis.com/oauth2/v3/userinfo

4. 스프링 시큐리티 설정

스프링 시큐리티를 사용하여 인증 및 권한 부여를 관리합니다. 아래는 기본적인 보안 설정 예시입니다:

    import org.springframework.context.annotation.Bean;
    import org.springframework.context.annotation.Configuration;
    import org.springframework.security.config.annotation.web.builders.HttpSecurity;
    import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
    import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

    @Configuration
    @EnableWebSecurity
    public class SecurityConfig extends WebSecurityConfigurerAdapter {
        @Override
        protected void configure(HttpSecurity http) throws Exception {
            http
                .authorizeRequests()
                .anyRequest().authenticated()
                .and()
                .oauth2Login();
        }
    }

5. 사용자 정보 가져오기

사용자가 로그인을 완료하면, 클라이언트 애플리케이션에서 인증 정보를 얻을 수 있습니다. 사용자의 정보를 가져오기 위해 아래의 서비스를 구현합니다:

    import org.springframework.security.core.Authentication;
    import org.springframework.security.oauth2.core.user.OAuth2User;
    import org.springframework.stereotype.Service;

    @Service
    public class UserService {
        public String getCurrentUserName(Authentication authentication) {
            OAuth2User oauth2User = (OAuth2User) authentication.getPrincipal();
            return oauth2User.getAttribute("name");
        }
    }

6. 로그아웃 구현하기

로그아웃도 공통된 요구 사항입니다. 아래의 설정을 통해 간단한 로그아웃 기능을 구현할 수 있습니다:

    http
        .logout()
        .logoutSuccessUrl("/login")
        .invalidateHttpSession(true)
        .clearAuthentication(true);

7. 애플리케이션 실행 및 테스트

모든 설정을 마친 후, 애플리케이션을 실행하고 웹 브라우저에서 http://localhost:8080로 접속해 주세요. 정상적으로 설정되었다면 Google 로그인 화면이 나타납니다. 로그인 후 사용자의 이름을 가져오는 화면도 확인할 수 있습니다.

8. 마무리

본 강좌에서는 스프링 부트를 활용하여 OAuth2 기반의 로그인 및 로그아웃 기능을 구현하는 방법에 대해 살펴보았습니다. OAuth2는 현대 웹 애플리케이션에서 매우 일반적으로 사용되는 인증 방식이며, 스프링 부트를 통해 손쉽게 설정할 수 있음을 알 수 있었습니다. 앞으로 더 발전된 기능들을 추가함으로써, 보다 안전하고 편리한 사용자 인증 시스템을 구축할 수 있기를 바랍니다.

추가 자료

더 많은 정보를 원하신다면 아래의 링크를 참고하시기 바랍니다:

스프링 부트 백엔드 개발 강좌, OAuth 서비스에 승인된 URI 추가하기

현대 웹 애플리케이션은 사용자 인증과 권한 관리가 필수적입니다. OAuth 2.0은 그러한 인증을 위한 인기 있는 프로토콜 중 하나로, 사용자가 자신의 자격 증명을 제3자 애플리케이션에 노출하지 않고도 서비스에 안전하게 접근할 수 있게 합니다. 이번 강좌에서는 스프링 부트를 사용하여 OAuth 서비스에 승인된 URI를 추가하는 방법을 단계별로 설명하겠습니다.

1. OAuth 개요

OAuth 2.0은 사용자 인증을 위한 프로토콜로, 주로 웹 애플리케이션에서 널리 사용됩니다. OAuth를 사용할 때, 사용자는 자신의 로그인 정보를 제공하지 않고도 다른 서비스에 접근할 수 있는 토큰을 받아 사용합니다. OAuth 2.0은 많은 다양한 인증 제공자를 지원하며, 각 제공자는 인증 요청을 처리하기 위해 URI를 필요로 합니다.

2. 스프링 부트와 OAuth 통합하기

스프링 부트를 사용하면 OAuth 2.0 인증을 쉽게 구현할 수 있습니다. 이 과정에서는 스프링 시큐리티를 사용하여 OAuth 2.0 클라이언트를 설정하고, 서비스에 승인된 URI를 추가하는 것을 목표로 합니다.

2.1. 프로젝트 설정

스프링 부트 프로젝트를 시작하기 위해 spring-boot-starter-webspring-boot-starter-security 의존성을 추가합니다. 또한 OAuth 2.0 클라이언트를 사용하기 위해 spring-boot-starter-oauth2-client 의존성도 필요합니다.

    
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-web</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-security</artifactId>
    </dependency>
    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-oauth2-client</artifactId>
    </dependency>

3. 승인된 URI의 이해

OAuth 2.0에서 승인된 URI는 사용자가 인증 후 리디렉션될 주소입니다. 이 URI는 클라이언트를 등록할 때 지정되며, 인증 서비스가 사용자 인증 후 이 URI로 리디렉션하여 응답을 보냅니다. 이는 사용자 정보와 함께 액세스 토큰을 포함할 수 있습니다.

4. 스프링 부트에서 승인된 URI 추가하기

4.1. application.yml 설정

스프링 부트에서는 application.yml 또는 application.properties 파일을 통해 OAuth 클라이언트의 속성을 설정할 수 있습니다. 다음은 구글 OAuth 2.0 클라이언트를 설정하는 예입니다.


spring:
  security:
    oauth2:
      client:
        registration:
          google:
            client-id: YOUR_CLIENT_ID
            client-secret: YOUR_CLIENT_SECRET
            scope: profile, email
            redirect-uri: "{baseUrl}/login/oauth2/code/{registrationId}"
        provider:
          google:
            authorization-uri: https://accounts.google.com/o/oauth2/auth
            token-uri: https://oauth2.googleapis.com/token
            user-info-uri: https://www.googleapis.com/oauth2/v3/userinfo

4.2. 웹 보안 설정

OAuth 2.0 인증을 사용하려면 웹 보안 구성을 추가해야 합니다. 아래의 설정은 인증된 사용자만 특정 경로에 접근할 수 있도록 설정합니다.


import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/", "/login").permitAll() // 로그인 없이 접근 가능한 경로
                .anyRequest().authenticated() // 다른 모든 요청은 인증 필요
                .and()
            .oauth2Login(); // OAuth 2.0 로그인
    }
}

4.3. 승인된 URI 테스트

이제 스프링 부트를 실행하고 http://localhost:8080으로 이동하여 OAuth 로그인을 테스트할 수 있습니다. 구글 로그인 버튼이 나타나며, 사용자는 이를 통해 인증을 받을 수 있습니다.

5. 승인된 URI 모니터링

OAuth 2.0 애플리케이션에서는 승인된 URI가 어떻게 작동하는지 이해하는 것이 중요합니다. 이 과정에서 발생할 수 있는 몇 가지 이슈와 해결 방법을 살펴보겠습니다.

5.1. 리디렉션 에러

리디렉션 URI가 잘못 설정되면 사용자가 인증 후 적절한 페이지로 리디렉트되지 않을 수 있습니다. 이 경우, 클라이언트 등록 시 승인된 리디렉션 URI를 정확하게 입력해야 합니다. 예를 들어:

    
    redirect-uri: http://localhost:8080/login/oauth2/code/google

5.2. Scope 문제

요청된 스코프가 잘못 설정된 경우에도 문제가 발생할 수 있습니다. 스코프를 잘못 지정하면 인증을 완료하지 못할 수 있으므로, 스코프 설정에 주의해야 합니다.

6. 추가 기능 구현

이제 기본 OAuth 2.0 요소를 설정했으니, 사용자의 인증 후 추가 정보를 표시하거나 조건부 접근 권한을 제어하는 기능을 구현할 수 있습니다. 예를 들어, 사용자 프로필 정보를 가져오고 이를 웹 페이지에 표시하는 방법을 살펴보겠습니다.

6.1. 사용자 정보 가져오기


import org.springframework.security.core.annotation.AuthenticationPrincipal;
import org.springframework.stereotype.Controller;
import org.springframework.ui.Model;
import org.springframework.web.bind.annotation.GetMapping;

@Controller
public class UserController {

    @GetMapping("/user")
    public String user(@AuthenticationPrincipal OAuth2AuthenticationToken authentication, Model model) {
        model.addAttribute("user", authentication.getPrincipal().getAttributes());
        return "user"; // user.html로 이동
    }
}

6.2. 사용자 정보 표시하기

사용자 정보를 표시하기 위해, 간단한 HTML 템플릿을 생성할 수 있습니다. src/main/resources/templates/user.html 파일을 만들어 다음 코드를 추가합니다.


<!DOCTYPE html>
<html lang="ko">
<head>
    <meta charset="UTF-8">
    <title>사용자 정보</title>
</head>
<body>

<h1>사용자 정보</h1>
<ul>
    <li>이름: <span th:text="${user['name']}"></span></li>
    <li>이메일: <span th:text="${user['email']}"></span></li>
</ul>

</body>
</html>

7. 마무리

이 강좌에서는 스프링 부트를 사용하여 OAuth 2.0 인증을 설정하고, 승인된 URI를 추가하는 방법을 알아보았습니다. OAuth 프로토콜을 통해 사용자 인증을 구현하면 안전하고 편리한 사용자 경험을 제공할 수 있습니다. 이제 여러분은 자신의 프로젝트에 이러한 기능을 추가하고, 더 나아가 다양한 API와의 통합도 시도해 볼 수 있습니다.

OAuth 2.0의 모든 기능을 완벽하게 활용하기 위해서는 다양한 라이브러리와 문서를 참고하는 것이 좋습니다. 더욱 심화된 내용을 원하신다면, OAuth 2.0 공식 문서를 참고하시기 바랍니다.

스프링 부트 백엔드 개발 강좌, ORM이란

스프링 부트(Spring Boot)는 자바 기반의 웹 애플리케이션을 쉽게 개발할 수 있도록 도와주는 프레임워크입니다. 이 강좌에서는 스프링 부트의 주요 개념 중 하나인 ORM(Object-Relational Mapping)이라는 주제를 다룰 것입니다. ORM은 객체지향 프로그래밍 언어인 자바와 관계형 데이터베이스 간의 상호 작용을 단순화해주는 기술입니다. 이 글에서는 ORM의 정의, 장점, 사용 방법, 스프링 부트와의 통합 등 다양한 내용을 깊이 있게 파헤쳐 보겠습니다.

ORM의 정의

ORM은 객체 지향 프로그래밍 언어에서 사용하는 객체와 관계형 데이터베이스에서 사용하는 테이블 간의 매핑을 제공하는 기술입니다. 간단히 말하자면, ORM은 데이터베이스의 데이터를 객체 지향 언어의 객체로 표현할 수 있게 해줍니다. 이로 인해 개발자는 SQL 쿼리를 작성하지 않고도 데이터베이스와 상호 작용할 수 있습니다. ORM의 일반적인 구현체로는 Hibernate, JPA(Java Persistence API) 등이 있습니다.

ORM의 역사

ORM의 개념은 1980년대 후반으로 거슬러 올라갈 수 있습니다. 처음에는 객체 지향 언어의 발전과 함께 데이터베이스와의 간결한 상호 작용을 위해 등장하였습니다. 점진적으로 ORM 기술들은 그 효용성과 생산성을 인정받아 다양한 프레임워크와 라이브러리에서 널리 사용되게 되었습니다. 특히 자바 생태계에서는 JPA와 Hibernate가 ORM의 대표적인 구현체로 자리잡게 되었습니다.

ORM의 장점

ORM을 사용하면 다음과 같은 여러 가지 장점을 누릴 수 있습니다:

  • 생산성 향상: ORM을 사용하면 SQL 쿼리를 직접 작성할 필요가 없어지므로 개발 생산성이 크게 향상됩니다.
  • 유지 보수 용이성: 데이터베이스 구조가 변경되더라도 객체 맵핑으로 인해 코드의 변경이 덜 필요하므로 유지 보수가 쉽습니다.
  • 객체 지향 개발: 데이터베이스의 데이터가 객체로 표현됨으로써 객체 지향 프로그래밍의 장점을 최대한으로 활용할 수 있습니다.
  • 데이터베이스 독립성: ORM을 사용하면 특정 데이터베이스 벤더에 종속되지 않고 애플리케이션을 DB 독립적으로 개발할 수 있습니다.

ORM의 단점

물론 ORM은 장점만 있는 것은 아닙니다. 다음은 ORM 사용의 단점입니다:

  • 성능 문제: ORM이 SQL을 자동 생성하기 때문에 성능 이슈가 발생할 수 있습니다. 잘못된 쿼리 생성이나 불필요한 JOIN 등이 문제가 될 수 있습니다.
  • 추상화의 한계: ORM의 추상화가 모든 데이터를 정확히 표현할 수 없을 경우가 있으며, 복잡한 쿼리를 작성할 땐 여전히 SQL을 사용해야 할 필요가 있습니다.
  • 학습 곡선: ORM 프레임워크가 처음인 사용자에게는 학습 곡선이 존재할 수 있습니다. 특히 복잡한 매핑이 있는 경우 더해집니다.

스프링 부트에서의 ORM 사용

스프링 부트에서는 JPA를 기본 ORM으로 사용합니다. JPA는 자바 객체와 관계형 데이터베이스 간의 매핑을 정의하는 인터페이스의 집합입니다. 스프링 부트에서는 JPA를 종속성으로 추가함으로써 손쉽게 ORM을 적용할 수 있습니다.

JPA와 Hibernate

JPA는 표준 인터페이스로서, Hibernate는 이 표준 인터페이스를 구현한 ORM 프레임워크입니다. Hibernate를 사용하면 JPA를 통해 데이터베이스와의 상호 작용을 관리할 수 있으며, 이 과정에서 데이터베이스의 CRUD(Create, Read, Update, Delete) 작업을 손쉽게 수행할 수 있습니다. 그럼, 실제 코드 예제를 통해 JPA와 Hibernate를 사용하는 방법을 살펴보겠습니다.

환경 설정

우선 스프링 부트 프로젝트에서 JPA와 Hibernate를 사용하기 위해서는 다음과 같은 종속성을 추가해야 합니다. Maven을 이용해 pom.xml 파일에 다음을 추가합니다:


    <dependency>
        <groupId>org.springframework.boot</groupId>
        <artifactId>spring-boot-starter-data-jpa</artifactId>
    </dependency>
    <dependency>
        <groupId>com.h2database</groupId>
        <artifactId>h2</artifactId>
        <scope>runtime</scope>
    </dependency>

엔티티 클래스 정의하기

다음으로, 데이터베이스와 매핑될 엔티티 클래스를 정의합니다. 예를 들어, User라는 엔티티 클래스를 만들어 보겠습니다:


    import javax.persistence.Entity;
    import javax.persistence.GeneratedValue;
    import javax.persistence.GenerationType;
    import javax.persistence.Id;

    @Entity
    public class User {
        @Id
        @GeneratedValue(strategy = GenerationType.IDENTITY)
        private Long id;
        private String name;
        private String email;

        // Getters and Setters
    }

레포지토리 인터페이스 작성하기

CRUD 작업을 수행하기 위한 레포지토리 인터페이스를 작성합니다:


    import org.springframework.data.jpa.repository.JpaRepository;

    public interface UserRepository extends JpaRepository<User, Long> {
    }

서비스 클래스 작성하기

이제 서비스 클래스를 통해 비즈니스 로직을 구현할 수 있습니다:


    import org.springframework.beans.factory.annotation.Autowired;
    import org.springframework.stereotype.Service;

    import java.util.List;

    @Service
    public class UserService {
        @Autowired
        private UserRepository userRepository;

        public User createUser(User user) {
            return userRepository.save(user);
        }

        public List<User> getAllUsers() {
            return userRepository.findAll();
        }
    }

컨트롤러 클래스 작성하기

마지막으로 REST API를 제공할 컨트롤러 클래스를 작성합니다:


    import org.springframework.beans.factory.annotation.Autowired;
    import org.springframework.http.ResponseEntity;
    import org.springframework.web.bind.annotation.*;

    import java.util.List;

    @RestController
    @RequestMapping("/api/users")
    public class UserController {
        @Autowired
        private UserService userService;

        @PostMapping
        public ResponseEntity<User> createUser(@RequestBody User user) {
            return ResponseEntity.ok(userService.createUser(user));
        }

        @GetMapping
        public ResponseEntity<List<User>> getAllUsers() {
            return ResponseEntity.ok(userService.getAllUsers());
        }
    }

결론

이 강좌에서는 스프링 부트에서 ORM이 무엇인지, 그리고 이를 통해 데이터베이스와 상호 작용하는 방법을 살펴보았습니다. ORM은 개발 생산성을 높여주고 유지 보수를 용이하게 해주는 강력한 도구입니다. JPA와 Hibernate를 이용해 데이터베이스와 상호 작용하는 방법은 비교적 간단하며, 이러한 기술들을 통해 백엔드 개발을 더욱 수월하게 할 수 있습니다.

향후 강좌에서는 더 많은 예제와 함께 ORM의 고급 기능들에 대해서도 알아보도록 하겠습니다. 스프링 부트를 사용하는 백엔드 개발에 대한 더 많은 내용을 기대해 주세요!

스프링 부트 백엔드 개발 강좌, OAuth2로 로그인 로그아웃 구현, 쿠키란

1. 서론

현대의 웹 애플리케이션 개발에서 사용자 인증 및 권한 관리의 중요성은 날로 증가하고 있습니다. 이러한 이유로 OAuth2 프로토콜이 널리 사용되고 있으며, 이는 다양한 시스템과 플랫폼에서 사용자 인증을 보다 유연하게 처리할 수 있는 방법을 제공합니다. 본 강좌에서는 스프링 부트를 활용하여 OAuth2를 기반으로 한 로그인 및 로그아웃 기능을 구현하는 방법과 쿠키에 대한 개념을 자세히 다뤄 보겠습니다.

2. 스프링 부트란?

스프링 부트는 스프링 프레임워크를 기반으로 한 개발 프레임워크로, 신속한 개발을 지원하고 복잡한 설정을 간소화하기 위해 만들어졌습니다. 이를 통해 개발자는 애플리케이션의 비즈니스 로직에 집중할 수 있으며, 설정에 소요되는 시간을 줄일 수 있습니다. 스프링 부트는 자체 임베디드 서버(예: Tomcat, Jetty 등)를 제공하므로, 별도의 웹 서버 설치 없이도 애플리케이션을 실행할 수 있습니다.

3. OAuth2란?

OAuth2는 클라이언트 애플리케이션이 사용자 데이터를 안전하게 접근할 수 있도록 허용하는 인증 프레임워크입니다. 즉, 사용자가 비밀번호와 같은 민감한 정보를 노출하지 않고도 애플리케이션에 대한 접근 권한을 부여할 수 있는 방법을 제공합니다. OAuth2의 기본적인 흐름은 다음과 같습니다:

  1. 사용자 인증: 사용자가 애플리케이션에 로그인하면, 애플리케이션은 OAuth 서비스 제공자에게 사용자에게 권한을 요청합니다.
  2. Authorization Code 발급: 사용자 인증이 완료되면, OAuth 서비스 제공자는 Auth Code를 클라이언트 애플리케이션에 전달합니다.
  3. Access Token 발급: 클라이언트 애플리케이션은 Authorization Code를 통해 Access Token을 요청하고, 이를 통해 사용자 데이터에 접근합니다.

이러한 단계를 통해 OAuth2는 다양한 사용자 인증 과정을 간소화하고 보다 안전하게 처리할 수 있습니다.

4. 스프링 부트에서 OAuth2 구현하기

스프링 부트에서는 spring-boot-starter-oauth2-client 를 사용하여 OAuth2를 쉽게 구현할 수 있습니다. 아래는 OAuth2 설정 과정입니다.

4.1. 의존성 추가

먼저, Maven 프로젝트의 pom.xml 파일에 다음과 같은 의존성을 추가해야 합니다:

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-oauth2-client</artifactId>
</dependency>

4.2. application.yml 설정

그 다음, src/main/resources/application.yml 파일에 OAuth2 공급자에 대한 설정을 추가합니다. 예를 들어, Google OAuth2를 사용하고자 할 때, 다음과 같이 설정할 수 있습니다:

spring:
  security:
    oauth2:
      client:
        registration:
          google:
            client-id: YOUR_CLIENT_ID
            client-secret: YOUR_CLIENT_SECRET
            scope: profile, email
        provider:
          google:
            authorization-uri: https://accounts.google.com/o/oauth2/auth
            token-uri: https://oauth2.googleapis.com/token
            user-info-uri: https://www.googleapis.com/oauth2/v3/userinfo
            user-name-attribute: sub

4.3. 보안 설정

다음으로, 스프링 시큐리티를 사용하여 보안을 설정합니다. WebSecurityConfigurerAdapter를 상속하여 아래와 같이 설정합니다:

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/", "/login").permitAll()
                .anyRequest().authenticated()
                .and()
            .oauth2Login();
    }
}

4.4. 로그인과 로그아웃

OAuth2 로그인을 구현하기 위해서는 기본적으로 제공되는 로그인 화면을 사용하거나, 커스터마이징 할 수 있습니다. 로그아웃 기능은 다음과 같이 설정합니다:

http
    .logout()
        .logoutSuccessUrl("/")
        .permitAll();

이제 애플리케이션을 실행하면, 사용자는 OAuth2로 로그인이 가능합니다. 성공적으로 로그인하면, 사용자의 정보를 확인할 수 있습니다.

5. 쿠키란?

쿠키는 웹 브라우저가 저장하는 작은 데이터 조각으로, 주로 사용자의 세션 정보를 저장하는 데 사용됩니다. 쿠키를 사용하여 서버는 클라이언트의 상태를 유지할 수 있으므로, 사용자가 페이지를 새로 고침하거나 다른 페이지로 이동해도 로그인 상태를 유지할 수 있습니다.

5.1. 쿠키의 특징

  • 작은 데이터 크기: 쿠키는 일반적으로 4KB 이하로 제한되며, 사용자가 브라우저에 저장할 수 있는 쿠키의 수에도 제한이 있습니다.
  • 자동 전송: 쿠키는 해당 도메인에 요청할 때 자동으로 서버에 전송됩니다.
  • 유효 기간 설정: 쿠키는 상대적 또는 절대적 유효 기간을 설정할 수 있습니다.

5.2. 스프링에서 쿠키 사용하기

스프링 애플리케이션에서 쿠키를 사용하는 방법은 비교적 간단합니다. HTTP 응답에 쿠키를 추가하려면 다음과 같이 처리할 수 있습니다:

import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletResponse;

// 쿠키 생성 및 추가
public void addCookie(HttpServletResponse response) {
    Cookie cookie = new Cookie("name", "value");
    cookie.setMaxAge(60 * 60); // 1시간
    cookie.setPath("/");
    response.addCookie(cookie);
}

5.3. 쿠키 읽기

서버에서 전송된 쿠키를 읽으려면 HttpServletRequest를 사용할 수 있습니다:

import javax.servlet.http.Cookie;
import javax.servlet.http.HttpServletRequest;

// 쿠키 읽기
public void readCookie(HttpServletRequest request) {
    Cookie[] cookies = request.getCookies();
    if (cookies != null) {
        for (Cookie cookie : cookies) {
            if (cookie.getName().equals("name")) {
                String value = cookie.getValue();
                // 쿠키 사용
            }
        }
    }
}

6. 결론

본 강좌에서는 스프링 부트를 통해 OAuth2 로그인 및 로그아웃 기능을 구현하는 과정과 쿠키의 개념에 대해 살펴보았습니다. OAuth2는 다양한 플랫폼에서 사용자 인증을 유연하게 처리할 수 있는 강력한 도구이며, 쿠키는 사용자 세션 관리를 보다 쉽게 도와주는 역할을 합니다. 실제 프로젝트에서 이러한 기술을 적절히 활용하여, 보다 안전하고 편리한 웹 애플리케이션을 개발해 보시기 바랍니다.

7. 참고 문헌

스프링 부트 백엔드 개발 강좌, OAuth2로 로그인 로그아웃 구현, 테스트 코드 실패 해결하고 코드 수정하기

OAuth2로 로그인/로그아웃 구현

스프링 부트(Spring Boot)는 Java 기반의 웹 애플리케이션 개발 프레임워크로, 강력하고 유연한 기능을 제공합니다.
이번 강좌에서는 OAuth2를 사용하여 안전한 로그인 및 로그아웃 기능을 구현하는 방법에 대해 알아보겠습니다.
OAuth2는 클라이언트 애플리케이션이 리소스 서버의 데이터를 안전하게 접근할 수 있도록 해주는 프로토콜입니다.
이를 통해 사용자 인증을 완벽하게 처리할 수 있습니다.

1. 프로젝트 설정

Spring Initializr(https://start.spring.io/)를 사용하여 새로운 프로젝트를 생성합니다.
필요한 종속성은 다음과 같습니다:

  • Spring Web
  • Spring Security
  • OAuth2 Client
  • Spring Data JPA
  • H2 Database (테스트 용)

Maven 또는 Gradle을 사용하여 생성한 프로젝트의 build.gradle 또는 pom.xml 파일을 확인하여 올바르게 설정되었는지 확인합니다.

2. OAuth2 설정

application.yml 파일에 OAuth2 클라이언트 설정을 추가합니다.
예를 들어, Google OAuth2를 사용할 경우 다음과 같이 설정할 수 있습니다: 

spring:
  security:
    oauth2:
      client:
        registration:
          google:
            client-id: YOUR_CLIENT_ID
            client-secret: YOUR_CLIENT_SECRET
            scope:
              - profile
              - email
            redirect-uri: "{baseUrl}/login/oauth2/code/{registrationId}"
        provider:
          google:
            authorization-uri: https://accounts.google.com/o/oauth2/auth
            token-uri: https://oauth2.googleapis.com/token
            user-info-uri: https://www.googleapis.com/oauth2/v3/userinfo
            user-name-attribute: sub

3. Security Configurations

WebSecurityConfigurerAdapter 클래스를 상속받아 보안을 설정합니다.
로그인 페이지와 결과를 처리하는 방식을 설정할 수 있습니다. 

import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    
    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http
            .authorizeRequests()
                .antMatchers("/", "/oauth2/**", "/login**").permitAll()
                .anyRequest().authenticated()
                .and()
            .oauth2Login()
                .loginPage("/login")
                .defaultSuccessUrl("/", true);

        // 로그아웃 설정
        http.logout()
            .logoutSuccessUrl("/")
            .permitAll();
    }
}

4. 로그인 및 로그아웃 처리 Controller

다음으로 로그인 및 로그아웃 요청을 처리하기 위한 Controller를 구현합니다.
아래는 기본적인 Controller의 예입니다: 

import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.GetMapping;

@Controller
public class LoginController {
    
    @GetMapping("/login")
    public String login() {
        return "login"; // login.html로 리턴
    }
}

5. 로그인 & 로그아웃 페이지 구현

Thymeleaf 또는 JSP를 사용하여 로그인 페이지를 구현합니다.
아래는 Thymeleaf를 사용하는 예입니다: 

<!DOCTYPE html>
<html xmlns:th="http://www.thymeleaf.org">
<head>
    <title>로그인</title>
</head>
<body>
    <h1>로그인 페이지</h1>
    <a href="@{/oauth2/authorization/google}">구글로 로그인</a>
</body>
</html>

테스트 코드 실패 해결 및 코드 수정하기

OAuth2 로그인 처리 후, 정상적으로 기능이 동작하는지 확인하기 위해 테스트 코드를 작성해야 합니다.
그러나 처음에 작성한 테스트가 실패할 수 있습니다. 이때 실패 원인을 파악하고 수정하는 방법에 대해 설명합니다.

1. 테스트 코드 작성

Spring Test를 사용하여 OAuth2 로그인을 테스트하는 코드를 작성합니다. 다음은 기본적인 테스트 코드의 예입니다: 

import org.junit.jupiter.api.Test;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.boot.test.autoconfigure.web.servlet.AutoConfigureMockMvc;
import org.springframework.boot.test.autoconfigure.web.servlet.WebMvcTest;
import org.springframework.security.test.context.support.WithMockUser;
import org.springframework.test.web.servlet.MockMvc;

import static org.springframework.test.web.servlet.request.MockMvcRequestBuilders.get;
import static org.springframework.test.web.servlet.result.MockMvcResultMatchers.status;

@WebMvcTest
@AutoConfigureMockMvc
public class LoginControllerTest {
    
    @Autowired
    private MockMvc mockMvc;

    @Test
    @WithMockUser
    public void testLoginPage() throws Exception {
        mockMvc.perform(get("/login"))
            .andExpect(status().isOk());
    }
}

2. 실패 원인 분석

테스트가 실패하는 경우 다양한 원인이 있을 수 있습니다.
가장 흔한 원인은 인증 또는 경로 설정 문제입니다. 예를 들어, 로그인 페이지의 URL이 잘못 지정되었거나,
인증되지 않은 사용자가 접근할 수 없도록 설정되어 발생할 수 있습니다.

3. 코드 수정 예시

테스트에서 로그인 페이지를 기대하고 있는데, 해당 페이지가 존재하지 않는 경우 로그인 페이지 경로를 수정해야 합니다.
다음과 같이 Controller 수정이 필요할 수 있습니다. 

import org.springframework.stereotype.Controller;
import org.springframework.web.bind.annotation.GetMapping;

@Controller
public class LoginController {
    
    @GetMapping("/login")
    public String login() {
        return "login"; // login.html로 리턴
    }
}

4. 다시 테스트 실행

코드를 수정한 후, 테스트를 다시 실행하여 성공하는지 확인합니다.

결론

이번 강좌에서는 스프링 부트를 사용하여 OAuth2로 로그인/로그아웃 기능을 구현하는 방법과 테스트 코드를 작성하고 수정하는 방법을 알아보았습니다.
OAuth2는 현대 웹 애플리케이션에서 매우 중요한 요소이며, 이를 통해 보안을 더욱 강화할 수 있습니다.
또한, 테스트 코드를 작성하여 기능이 올바르게 동작하는지 확인하는 과정은 소프트웨어 개발에서 매우 중요한 절차입니다.
이를 통해 안정적이고 안전한 애플리케이션을 개발할 수 있습니다.