[Spring Security] 스프링 부트 OAuth2-client를 이용한 소셜(구글, 네이버, 카카오) 로그인 하기

💐 Spring/Spring Security

[Spring Security] 스프링 부트 OAuth2-client를 이용한 소셜(구글, 네이버, 카카오) 로그인 하기

iseunghan 2021. 5. 6. 00:20

저번 시간에는 직접 컨트롤러에서 요청을 구현하여서 OAuth2 인증을 처리해봤습니다. 이번 시간에는 OAuth2-client 라이브러리를 이용해서, 소셜 로그인 API를 구현해보도록 하겠습니다.

개발 환경

IntelliJ IDEA
Spring Boot 2.4.4
Java 11
Spring JPA
Maven 3.6.3

Maven 의존성 추가

spring-boot-starter-oauth2-client라는 라이브러리는 구글,페이스북 같은 로그인을 통한 인증과 권한 처리를 쉽게 할 수 있게 해준다.

<dependency>
	<groupId>org.springframework.boot</groupId>
	<artifactId>spring-boot-starter-security</artifactId>
</dependency>
<dependency>
	<groupId>org.springframework.boot</groupId>
	<artifactId>spring-boot-starter-oauth2-client</artifactId>
</dependency>

spring security 의존성을 추가하면, 스프링 부트는 그 스프링 시큐리티 자동설정을 적용을 해줘서, 모든 요청에 대해서 인증을 필요로 하게 됩니다. (일부 url을 허용하려면, WebSecurityConfigurerAdaptre를 구현하여 설정을 해주면 됩니다. 이 부분은 아래에서 자세하게 살펴보겠습니다.)

application-oauth.properties 작성 + .gitignore 등록하기

application.properties 와 같은 위치에 새로운 파일을 작성합니다.

application-oauth.properties라는 파일을 생성하고, 이전에 발급받은 클라이언트 ID와 비밀번호를 넣어줍니다.

application-oauth.properties

대표적으로 spring security에서 제공하는 oauth2-client 라이브러리에는 유명한 google, facebook, twitter 등 웹사이트에 대한 provider들은 제공을 해주지만, 우리나라에서만 한정적으로 사용하는 네이버나, 카카오 같은 서비스에 대한 정보들을 제공해주지 못한다. 그래서 우리가 직접 등록을 해줄 것입니다!

# GOOGLE
spring.security.oauth2.client.registration.google.client-id = [클라이언트 id]
spring.security.oauth2.client.registration.google.client-secret = [클라이언트 pw]
spring.security.oauth2.client.registration.google.scope = profile, email

# 구글이나 페이스북은 안적어도 되는데, 네이버나 카카오는 적어줘야함(기본 제공 provider가 아니기 때문에)
spring.security.oauth2.client.registration.naver.client-id = [클라이언트 id]
spring.security.oauth2.client.registration.naver.client-secret= [클라이언트 pw]
spring.security.oauth2.client.registration.naver.client-name=Naver
spring.security.oauth2.client.registration.naver.authorization-grant-type=authorization_code
spring.security.oauth2.client.registration.naver.redirect-uri=http://localhost:8080/login/oauth2/code/naver

# Naver Provider 등록!
spring.security.oauth2.client.provider.naver.authorization-uri=https://nid.naver.com/oauth2.0/authorize
spring.security.oauth2.client.provider.naver.token-uri=https://nid.naver.com/oauth2.0/token
spring.security.oauth2.client.provider.naver.user-info-uri=https://openapi.naver.com/v1/nid/me
spring.security.oauth2.client.provider.naver.user-name-attribute=response # 네이버가 회원정보를 json으로 넘겨주는데, response라는 키값으로 리턴해준다.

# KAKAO
spring.security.oauth2.client.registration.kakao.client-id = [클라이언트 id]
spring.security.oauth2.client.registration.kakao.client-secret = [클라이언트 pw]
spring.security.oauth2.client.registration.kakao.redirect-uri=http://localhost:8080/login/oauth2/code/kakao
spring.security.oauth2.client.registration.kakao.authorization-grant-type=authorization_code
spring.security.oauth2.client.registration.kakao.scope=profile,account_email
spring.security.oauth2.client.registration.kakao.client-name=kakao
spring.security.oauth2.client.registration.kakao.client-authentication-method=POST

## kAKAO Provider 등록!
spring.security.oauth2.client.provider.kakao.authorization-uri= https://kauth.kakao.com/oauth/authorize
spring.security.oauth2.client.provider.kakao.token-uri=https://kauth.kakao.com/oauth/token
spring.security.oauth2.client.provider.kakao.user-info-uri=https://kapi.kakao.com/v2/user/me
spring.security.oauth2.client.provider.kakao.user-name-attribute=id # 카카오가 회원정보를 json으로 넘겨주는데, id라는 키값으로 리턴해준다.

application.properties 등록

파일명을 application-XXX.properties 로 지으면, XXX 부분을 아래처럼 사용할 수 있다.

# application-oauth.properties
spring.profiles.includes = oauth

.gitignore

발급 받은 클라이언트 id, pw가 들어있기 때문에 .gitignore에 추가해줍니다.

소셜 로그인 사용자 정보를 담을 별도의 User 클래스를 생성하였습니다.

@Entity
public class User {
    @Id
    @GeneratedValue(strategy = GenerationType.IDENTITY)
    private Long id;
    
    @Column(nullable = false)
    private String name;
    
    @Column(nullable = false)
    private String email;
    private String picture;
    private String role = "ROLE_USER";

    public User(String name, String email, String picture) {
        this.name = name;
        this.email = email;
        this.picture = picture;
    }

    public User update(String name, String picture) {
        this.name = name;
        this.picture = picture;

        return this;
    }

   // .. getter, setter 생략
}

UserRepository도 생성해줍니다.

email을 이용해서 찾을 수 있도록 findByEmail 도 만들어줍니다.

@Repository
public interface UserRepository extends JpaRepository<User, Long> {
    Optional<User> findByEmail(String email);
}

스프링 시큐리티 설정

@Configuration
@EnableWebSecurity  // 해당 애노테이션을 붙인 필터(현재 클래스)를 스프링 필터체인에 등록.
public class SecurityConfig extends WebSecurityConfigurerAdapter {

	// 커스텀한 OAuth2UserService DI.
    @Autowired
    private CustomOAuth2UserService customOAuth2UserService;

	// encoder를 빈으로 등록.
    @Bean
    public BCryptPasswordEncoder bCryptPasswordEncoder() {
        return new BCryptPasswordEncoder();
    }


    // WebSecurity에 필터를 거는 게 훨씬 빠름. HttpSecrity에 필터를 걸면, 이미 스프링 시큐리티 내부에 들어온 상태기 때문에..
    @Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().mvcMatchers("/members/**","/image/**");    // /image/** 있는 모든 파일들은 시큐리티 적용을 무시한다.
        web.ignoring().requestMatchers(PathRequest.toStaticResources().atCommonLocations());    // 정적인 리소스들에 대해서 시큐리티 적용 무시.
    }

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                    .anyRequest()	// 모든 요청에 대해서 허용하라.
                    .permitAll()
                .and()
                    .logout()
                    .logoutSuccessUrl("/")	// 로그아웃에 대해서 성공하면 "/"로 이동
                .and()
                    .oauth2Login()
                    .defaultSuccessUrl("/login-success")
                    .userInfoEndpoint()
                    .userService(customOAuth2UserService);	// oauth2 로그인에 성공하면, 유저 데이터를 가지고 우리가 생성한
             	       						// customOAuth2UserService에서 처리를 하겠다. 그리고 "/login-success"로 이동하라.
    }
}

@EnableWebSecurity
- @Configuration 애노테이션을 붙인 클래스에 붙이고, WebSecurityConfigurerAdapter를 상속받으면, Spring Security 설정 클래스가 됩니다.
BCryptPasswordEncoder는 Spring Security에서 제공하는 암호화 객체입니다.
configure(WebSecurity web)
- websecurity는 FilterChainProxy를 생성하는 필터입니다.
- web.ignoring().requestMatchers(PathRequest.toStaticResources().atCommonLocations());
  - /css/** , /js/** 같은 정적 리소스 파일들은 Spring Security가 무시할 수 있도록, 통과시켜주는 것이 좋습니다.
configure(HttpSecurity http)
- httpSecurity를 통해 HTTP 요청에 대한 웹 기반 보안을 구성할 수 있습니다.
- autorizeRequests()
  - .antMatchers("/**").permitAll().hasRole("ADMIN"); 이렇게 해주면, "/**" 로 들어온 요청에 대해서 권한이 ADMIN일 때, 허용을 해주겠다는 뜻입니다.
  - .anyRequest().permitAll() -> 모든 사용자에 대해서 허용하겠다.
  - .anyRequest().authenticated() -> 모든 사용자에 대해서 인증 요청하겠다.
- formlogin()
  - HttpSession을 이용한, form 로그인을 처리하는 메소드입니다.
  - "/login"에 접근하면, Spring security가 제공하는 로그인을 이용할 수 있습니다.
  - .loginPage("/customLogin")
    - 커스텀 로그인 폼을 사용하고 싶다면 해당 메소드를 사용하면 됩니다.
  - .defaultSuccessUrl("/{success-url}")
    - 로그인이 성공적으로 완료되었을 때, 이동되는 페이지입니다.
- logout()
  - 로그아웃을 처리하는 메소드입니다.
  - "/logout"에 접근하면, Spring Security가 Http 세션을 제거해줍니다.
  - .logoutRequestMatcher(new AntPathRequestMatcher("/user/logout"))
    - 로그아웃의 url을 설정할 수 있습니다.
  - .exceptionHandling().accessDeniedPage("/logout/denied")
    - 로그아웃 시 예외 발생했을 때, 해당 메소드로 핸들링할 수 있습니다.
- oauth2Login()
  - ouath2 로그인을 할 때, 처리하는 메소드입니다.
  - .defaultSuccessUrl("/{login-success-url}")
    - oauth2 인증이 성공했을 때, 이동되는 url을 설정할 수 있습니다.
  - userInfoEndPoint().userService(customOAuth2UserService);
    - 로그인이 성공하면, 해당 유저의 정보를 들고 customOAuth2UserService에서 후처리를 해주겠다는 뜻입니다.

OAuth2UserService 구현하기

package me.isunghan.loginspring.security;

import me.isunghan.loginspring.repository.MemberRepository;
import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.security.core.authority.SimpleGrantedAuthority;
import org.springframework.security.oauth2.client.userinfo.DefaultOAuth2UserService;
import org.springframework.security.oauth2.client.userinfo.OAuth2UserRequest;
import org.springframework.security.oauth2.client.userinfo.OAuth2UserService;
import org.springframework.security.oauth2.core.OAuth2AuthenticationException;
import org.springframework.security.oauth2.core.user.DefaultOAuth2User;
import org.springframework.security.oauth2.core.user.OAuth2User;
import org.springframework.stereotype.Service;

import javax.servlet.http.HttpSession;
import java.util.Collections;

@Service
public class CustomOAuth2UserService implements OAuth2UserService<OAuth2UserRequest, OAuth2User> {

    @Autowired
    private UserRepository userRepository;
    @Autowired
    private HttpSession httpSession;

    @Override
    public OAuth2User loadUser(OAuth2UserRequest oAuth2UserRequest) throws OAuth2AuthenticationException {
        OAuth2UserService oAuth2UserService = new DefaultOAuth2UserService();
        OAuth2User oAuth2User = oAuth2UserService.loadUser(oAuth2UserRequest);

        // 현재 진행중인 서비스를 구분하기 위해 문자열로 받음. oAuth2UserRequest.getClientRegistration().getRegistrationId()에 값이 들어있다. {registrationId='naver'} 이런식으로
        String registrationId = oAuth2UserRequest.getClientRegistration().getRegistrationId();

        // OAuth2 로그인 시 키 값이 된다. 구글은 키 값이 "sub"이고, 네이버는 "response"이고, 카카오는 "id"이다. 각각 다르므로 이렇게 따로 변수로 받아서 넣어줘야함.
        String userNameAttributeName = oAuth2UserRequest.getClientRegistration().getProviderDetails().getUserInfoEndpoint().getUserNameAttributeName();

	// OAuth2 로그인을 통해 가져온 OAuth2User의 attribute를 담아주는 of 메소드.
        OAuthAttributes attributes = OAuthAttributes.of(registrationId, userNameAttributeName, oAuth2User.getAttributes());

        User user = saveOrUpdate(attributes);
        httpSession.setAttribute("user", new SessionUser(user));

        System.out.println(attributes.getAttributes());
        return new DefaultOAuth2User(Collections.singleton(new SimpleGrantedAuthority("ROLE_USER"))
                , attributes.getAttributes()
                , attributes.getNameAttributeKey());
    }

    // 혹시 이미 저장된 정보라면, update 처리
    private User saveOrUpdate(OAuthAttributes attributes) {
        User user = userRepository.findByEmail(attributes.getEmail())
                .map(entity -> entity.update(attributes.getName(), attributes.getPicture()))
                .orElse(attributes.toEntity());

        return userRepository.save(user);
    }
}

OAuth2Attributes 클래스 생성

OAuth2 로그인을 통해서 가져온 OAuth2User의 정보를 담아주기 위한 클래스를 생성합니다.

public class OAuthAttributes {
    private Map<String, Object> attributes;
    private String nameAttributeKey;
    private String name;
    private String email;
    private String picture;

    public OAuthAttributes(Map<String, Object> attributes, String nameAttributeKey, String name, String email, String picture) {
        this.attributes = attributes;
        this.nameAttributeKey = nameAttributeKey;
        this.name = name;
        this.email = email;
        this.picture = picture;
    }

    public OAuthAttributes() {
    }

    // 해당 로그인인 서비스가 kakao인지 google인지 구분하여, 알맞게 매핑을 해주도록 합니다.
    // 여기서 registrationId는 OAuth2 로그인을 처리한 서비스 명("google","kakao","naver"..)이 되고,
    // userNameAttributeName은 해당 서비스의 map의 키값이 되는 값이됩니다. {google="sub", kakao="id", naver="response"}
    public static OAuthAttributes of(String registrationId, String userNameAttributeName, Map<String, Object> attributes) {
        if (registrationId.equals("kakao")) {
            return ofKakao(userNameAttributeName, attributes);
        } else if (registrationId.equals("naver")) {
            return ofNaver(userNameAttributeName,attributes);
        }
        return ofGoogle(userNameAttributeName, attributes);
    }

    private static OAuthAttributes ofKakao(String userNameAttributeName, Map<String, Object> attributes) {
        Map<String, Object> kakao_account = (Map<String, Object>) attributes.get("kakao_account");  // 카카오로 받은 데이터에서 계정 정보가 담긴 kakao_account 값을 꺼낸다.
        Map<String, Object> profile = (Map<String, Object>) kakao_account.get("profile");   // 마찬가지로 profile(nickname, image_url.. 등) 정보가 담긴 값을 꺼낸다.

        return new OAuthAttributes(attributes,
                userNameAttributeName,
                (String) profile.get("nickname"),
                (String) kakao_account.get("email"),
                (String) profile.get("profile_image_url"));
    }

    private static OAuthAttributes ofNaver(String userNameAttributeName, Map<String, Object> attributes) {
        Map<String, Object> response = (Map<String, Object>) attributes.get("response");    // 네이버에서 받은 데이터에서 프로필 정보다 담긴 response 값을 꺼낸다.
        
        return new OAuthAttributes(attributes,
                userNameAttributeName,
                (String) response.get("name"),
                (String) response.get("email"),
                (String) response.get("profile_image"));
    }

    private static OAuthAttributes ofGoogle(String userNameAttributeName, Map<String, Object> attributes) {
        
        return new OAuthAttributes(attributes,
                userNameAttributeName,
                (String) attributes.get("name"),
                (String) attributes.get("email"),
                (String) attributes.get("picture"));
    }

    // .. getter/setter 생략
    
    public User toEntity() {
        return new User(name, email, picture);
    }
}

소셜 서비스마다 정보들의 값이 다 다르기 때문에 직접 값을 print로 찍어보면서 설정해야 됩니다.

네이버의 경우 response값 안에 프로필 정보가 들어있어서 map에서 "response" 키 값을 이용해 값을 꺼냈고,

각 서비스에서 보내준 프로필 정보들의 key값이 naver의 프로필사진 url은 profile_image이고, google은 picture 등등.. 살짝 살짝 다르기 때문에 값을 잘 설정해줘야 합니다.

SessionUser 클래스 생성

SessionUser는 인증된 사용자 정보를 저장하는 Dto 클래스입니다. HttpSession에 넣을 것이기 때문에 직렬화를 해줍니다.

import java.io.Serializable;

public class SessionUser implements Serializable {
    private String name;
    private String email;
    private String picture;

    public SessionUser(User user) {
        this.name = user.getName();
        this.email = user.getEmail();
        this.picture = user.getPicture();
    }

    public SessionUser() {
    }

    public String getName() {
        return name;
    }

    public void setName(String name) {
        this.name = name;
    }

    public String getEmail() {
        return email;
    }

    public void setEmail(String email) {
        this.email = email;
    }

    public String getPicture() {
        return picture;
    }

    public void setPicture(String picture) {
        this.picture = picture;
    }
}

로그인 버튼 생성

"/oauth2/authorization/google"
- Spring security에서 기본적으로 제공하는 url을 사용합니다.

<a href="/oauth2/authorization/google">구글 아이디로 로그인</a>
<a href="/oauth2/authorization/naver">네이버 아이디로 로그인</a>
<a href="/oauth2/authorization/kakao">카카오 아이디로 로그인</a>

감사합니다!

REFERENCES

Spring Boot 간편 로그인 구현하기(with security & oauth2.0)

1. 구글 계정 만들기 먼저 OAuth 동의 화면에서 이름 짓고 밑에 3개 잘 등록되었는지만 확인하고 생성 제일 상단처럼 프로젝트 이름을 짓고 왼쪽 햄버거 버튼으로 사용자 인증 정보로 넘어오면 오

smujihoon.tistory.com

[SpringBoot] OAuth2 Google Login

OAuth2 Google Login 스프링 시큐리티 설정 build.gradle에 스프링 시큐리티 관련 의존성 추가 spring-boot-starter-oauth2-client 소셜 로그인 등 클라이언트 입장에서 소셜 기능 구현 시 필요한 의존성 spring-b..

seokr.tistory.com

스프링 부트(Spring Boot): 구글 로그인 연동 (스프링 부트 스타터의 oauth2-client) 이용 + 네이버 아이

이 방법은 JSTL, Thymeleaf, Mustache 등 서버 사이드 템플릿 엔진을 사용하는 로그인 방법입니다. SPA에서 사용할 수 있는 소셜 로그인 연동 방법은 아래 글을 참고하세요, 스프링 부트(Spring Boot): SPA

yoonbumtae.com

Spring Boot Security로 카카오 소셜 로그인 만들기

참고 할점.... 이번 포스팅은 스프링 부트와 AWS로 혼자 구현하는 웹 서비스의 소셜로그인 파트를 참조하여 만들었습니다. 즉, 이 책을 기반으로 코드를 추가한 것이기 때문에 자세한 코드는 책을

sundries-in-myidea.tistory.com

Spring Security 5 - OAuth2 Login | Baeldung

Learn how to authenticate users with Facebook, Google or other credentials using OAuth2 in Spring Security 5.

www.baeldung.com

저작자표시