스프링 시큐리티

• 웹 시큐리티 (Filter 기반 시큐리티)
• 메소드 시큐리티
• 이 둘 다 Security Interceptor를 사용합니다.
  • 리소스에 접근을 허용할 것이냐 말것이냐를 결정하는 로직이 들어있음

웹 시큐리티 작동 순서

• 요청이 들어 왔을 때 서블릿 필터가 가로채어 웹 필터 시큐리티 인터셉터로 보낸다.
• 인증을 적용해야 하는지 아닌지를 파악 하고
• 해야 한다면 인터셉터에 들어가서 인증 정보를 확인한다.
• SecurityContextHolder 한 쓰레드라면 파라미터로 매개변수를 전달하는 것이 아니라 쓰레드 로컬을 이용해서 값을 공유할 수 있다. 그렇게 구현되어 있는 SecurityContextHolder 에서 사용자 정보를 꺼낸다.
  • 사용자가 없으면 AuthenticationManager를 이용해 로그인 한다.
  • 패스워드를 입력 받으면 그걸 매칭 시켜보고 맞으면 SecurityContextHolder 에 담아 놓는다.
• 인증이 됐다면 user의 role을 이용해서 권한을 확인한다.

의존성 추가

<dependency>
    <groupId>org.springframework.security.oauth.boot</groupId>
    <artifactId>spring-security-oauth2-autoconfigure</artifactId>
    <version>2.1.0.RELEASE</version>
</dependency>

Test

@RunWith(SpringRunner.class)
@SpringBootTest
@ActiveProfiles("test")
public class AccountServiceTest {

	@Autowired
	AccountService accountService;

	@Autowired
	AccountRepository accountRepository;

	@Test
	public void findByUsername() {
		Set<AccountRole> roles = new HashSet<>();
		roles.add(AccountRole.ADMIN);
		roles.add(AccountRole.USER);

		String username = "[email protected]";
		String password = "pass";
		Account account = Account.builder()
				.email(username)
				.password(password)
				.roles(roles)
				.build();

		this.accountRepository.save(account);

		UserDetailsService userDetailsService = accountService;
		UserDetails userDetails = userDetailsService.loadUserByUsername(username);

		assertThat(userDetails.getPassword()).isEqualTo(password);
	}
}