스프링 시큐리티를 이용한 api 사용 인증 #68
Conversation
주요 내용 1. jws 검증 usecase를 추가한 테스트코드 작성 2. jws 검증을 위한 filter 추가 3. authenticationException handling을 위한 entrypoint 추가 4. filter 및 entrypoint 설정에 추가 Closes #66
|
음, 인증 추가 작업인데 지금 구현하신 의도는 모든 API 기능은 인증 안하면 쓸 수 없는것인지... 궁금합니다. https://docs.spring.io/spring-security/site/faq/faq.html 이 문서에서는 뭐라고 하나요? ant matcher 와 |
| @@ -19,7 +20,7 @@ import org.springframework.security.crypto.password.PasswordEncoder | |||
| class SecurityBeansDefinition { | |||
|
|
|||
| @Bean | |||
| fun objectMapper() : ObjectMapper { | |||
| fun objectMapper(): ObjectMapper { | |||
| return jacksonObjectMapper() | |||
There was a problem hiding this comment.
서버 실행할때 jackson-kotlin 어쩌고 경고 뜨진 않던가요?
There was a problem hiding this comment.
서버 시작을 아직 안해봤는데, 확인해보고 말씀드리겠습니다.
There was a problem hiding this comment.
음.. 로컬에 wsl, docker, mysql 세팅하고 서버실행해봤는데, 말씀하신 경고는 뜨지 않고 있습니다.
| import javax.servlet.http.HttpServletResponse | ||
|
|
||
| @Component | ||
| class UnauthorizedEntryPoint : AuthenticationEntryPoint { |
| /** | ||
| * 해당 키페어는 서버 시작할 때마다 재생성됩니다. | ||
| * 추후에는 미리 생성한 후 설정파일(ex : application-*.yml)에서 읽어들일 예정입니다. | ||
| */ | ||
| private val KEY_PAIR: KeyPair = Keys.keyPairFor(SignatureAlgorithm.RS256) | ||
| private const val BEARER_LENGTH: Int = 7 |
There was a problem hiding this comment.
7 은 무슨 의미인가요? Substring 의도로 만드신것 같은데 (Bearer )(<JSON_WEB_TOKEN>) 형식으로 정규표현식 선언한 다음, 뒤쪽 capturing group 을 take 하도록 구현하는게 좀더 가독성 높은 구현이 될 것 같습니다.
There was a problem hiding this comment.
substring을 활용했는데, 아무래도 split을 활용하는게 더 간단할 것 같습니다.
| @Test | ||
| fun `API 를 정상수행한다`() { | ||
| //정상적으로 로그인한 정보 | ||
| val loginResponse = loginUserService.login(LoginRequest(email, password)) |
There was a problem hiding this comment.
통합 테스트에선 가급적이면 이런식으로 whitebox 에 의존한 구현보단 createUserAndLogin 같은 test helper function 을 만들고 그놈을 호출하는 식으로 구현하시는게 좀더 테스트 코드를 읽기 좋게 만들 수 있을 것 같습니다. (내부 구현도 LoginUserService 를 직접 호출하기보단 그냥 http call 하듯 구현한다면 좀더 blackbox testing 에 가깝게 구현할 수 있겠죠?)
There was a problem hiding this comment.
안그래도 rest assured에서 http call을 한 후, 결과값을 가져오는 방법에 대해서 찾다가 잘 안찾아져서 일단 service로 바로 진행했었는데요.
말씀하신대로 hepler function을 이용해서 다시 한번 진행해보겠습니다.
| @@ -190,8 +227,15 @@ class LoginWithSpringSecurityAndJwtTest { | |||
| inner class `유효하지 않으면` { | |||
|
|
|||
| @Test | |||
| fun `403을 반환한다`() { | |||
|
|
|||
| fun `401을 반환한다`() { | |||
There was a problem hiding this comment.
오류가 발생한다 (HTTP 403) 이 좀더 나을 것 같습니다.
|
|
||
|
|
||
| @Component | ||
| class SpringApi { |
There was a problem hiding this comment.
클래스 이름이... SpringApi 가 무슨 의미인지 잘 모르겠어요.
그리고 이놈 Test context 에서 로드하게 하려면 어떻게 구현해야 할까요?
There was a problem hiding this comment.
1.실험적인 코드를 작성한 터라 네이밍에 신경쓰지 못했습니다.
- @Inject, @Autowired 어노테이션으로 DI하면 될 것 같습니다.
테스트 환경에서만 사용할 유틸성 클래스이기 때문에, 빈으로 생성 안하고 직접 생성하는 것도 방법이 될 수 있습니다.
근데, 이 클래스는 인증이 필요한 api 리스트를 동적으로 생성해주고, 테스트 할 때 사용하려고 했는데, uri를 가져오는 건 별로 어렵지 않았으나, api마다 파라미터 정보를 가져오고, 데이터를 만들어주고 하는 것이 배보다 배꼽이 큰 느낌이라,
- 해당 클래스는 실제로 사용하지 않았습니다. 앞으로의 수정에서 삭제될 예정입니다.
네, 현재 딱히 특정 url에 인증이 필요한지 결정된 것이 없기 때문에, 로그인 관련 api를 제외하고는 전부 인증이 필요하도록 설정했습니다. 해당 문서는 시큐리티 관련 faq로 보이네요. 읽어봤는데, 현재 말씀하신 부분 관련한 부분은 잘 모르겠습니다. antmatcher는 configuration bean (WebSecurityConfigurerAdapter) 에서 해당 url path pattern과 일치하는 url 관련해서 설정할 수 있도록 합니다. hasRole 같은 권한 설정도 가능하구요. @PreAuthorize 역시 컨트롤러의 메서드 마다 인증여부, 권한여부 등을 표현식으로 설정할 수 있는 걸로 알고 있습니다. ant matcher는 설정파일에서 다루기 때문에 전역적으로 동작할 것이고, PreAuthorize는 메서드 별로 제어할 수 있다는 게 차이인 것 같습니다. |
|
특이사항이 있습니다. 그런데, 테스트코드에서 이상하게 application.yml을 읽지 못하더군요. 제가 원하는 건 default인 최상위 프로젝트의 application.yml을 읽었으면 하는 건데 따로 그거에 대한 설정을 찾기가 어렵네요. |
|
테스트코드에서 black box test (http call) 하는 방식은 다음 커밋때 구현하겠습니다. 위에 application.yml 로드 하는 것 때문에 시간을 많이 날렸네요... |
주요 내용 1. 메서드 보안방식 (@PreAuthorize) 반영 및 글로벌 filter 보안 제거 2. rest assured http call 방식을 이용한 테스트 및 헬퍼 클래스 작성 Closes #66
|
피드백 반영 완료했습니다.
|
There was a problem hiding this comment.
잘 봤습니다. 그리고 @neropsys 님도 WebSecurityConfig (이름은 마음대로 정하셔도 됨) 이렇게 구현하는구나- 라는것과, Spring Security 는 Servlet filter 단계에서 동작하는 거라는걸 확실하게 이해하고 넘어가시면 좋겠습니다.
주요 내용
Closes #66