어제 emp에서 로그인하는것 설명추가
<password-encoder ref="customNoOpPasswordEncoder" />
//최신버전부터 패스워드에 암호화모듈을 넣게됨-실무에서도 무조건 넣음
<jdbc-user-service data-source-ref="dataSource"
role-prefix=""
users-by-username-query="select ename as username, empno as password,enabled from emp04 where UPPER(ename) LIKE UPPER(?)"
authorities-by-username-query="select ename as username, CASE WHEN job ='MANAGER' THEN 'ROLE_ADMIN' else 'ROLE_USER' END as authority from emp04 where ename = ?" />
</authentication-provider><암호화 원리만 알기>
사용자가 정한 비밀번호를 개발자가 순서를 바꾸고(encoding) 해킹하기 어렵게 암호화를 만든다. -뻔하디뻔한 순서바꾸기는 해커들에게 잘털리기에 암호화알고리즘전문가가있는것임- 이걸 다시 제 순서대로 맞추는걸 decoding이라고 한다.
모든 암호화 과정에는 encoding과 decoding과정이 있다.
회원가입 만들기
UserController만들기
userForm.jsp만들기
password받는방식은 무조건 post방식으로!
[web.xml] - 오류나는거... security-context.xml 이거 같이 넣으면안됨
<context-param>
<param-name>contextConfigLocation</param-name>
<param-value>/WEB-INF/spring/root-context.xml
<!--/WEB-INF/spring/security-context.xml -->
//하나는 무조건 없애기!!!!!
/WEB-INF/spring/security-db-context.xml
</param-value>
</context-param>
[security-db-context.xml]에 /user/** 추가
<http>
<intercept-url pattern="/login/loginForm"
access="permitAll" />
<intercept-url pattern="/" access="permitAll" />
<intercept-url pattern="/user/**" access="permitAll" />
<intercept-url pattern="/admin/**"
access="hasRole('ROLE_ADMIN')" />
<intercept-url pattern="/**"
access="hasAnyRole('ROLE_USER, ROLE_ADMIN')" />
회원가입하고 로그인안되는원인은 디코딩을 다시 안해줬기때문
[security-db-context.xml]에서 password-encoder부분 수정
<!-- 여기추가 -->
<beans:bean id="customNoOpPasswordEncoder"
class="edu.bit.ex.security.CustomNoOpPasswordEncoder" />
<!-- addUser할때 필요. 추가. -->
<beans:bean id="bcryptPasswordEncoder"
class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder" />
<!-- provider -->
<authentication-manager>
<authentication-provider>
<!-- 여기추가 -->
//이부분 수정! 원랜 customNoOpPasswordEncoder였음
<password-encoder ref="bcryptPasswordEncoder" />
<jdbc-user-service data-source-ref="dataSource"
role-prefix=""
users-by-username-query="select username, password, enabled from users where username = ?"
authorities-by-username-query="select username, authority from authorities where username = ?" />
</authentication-provider>
</authentication-manager>
</beans:beans>해당파일 소스↓
================
스프링시큐리티에 올린 세션을 써먹기 위해서 jsp에서 principle을 사용한다.
[예시]
<p>
principal: <sec:authentication property="principal" />
</p>
<p>EmpVO: <sec:authentication property="principal.emp"/></p>
★커스텀마이징★했기때문에 principal.emp 즉 principal에서 emp를 가져올수도 있다.
실무에서는 무조건 이렇게 한다.(어디서도 이런설명은 없음)
이 세션을 어디에다 써먹을 수 있는지가 매우 중요
클래스를 스프링시큐리티에 쉐어하기위해 principal을 끼워넣는다!!★★★★
스프링시큐리티 활용방법
-스프링시큐리티로 쇼핑몰 카트도 다 이용가능하다.
세션객체를 principle에 넣고 돌리면 좋은 코드가 된다.(확장하기)
========
empVO로 예 만들기
EmpVO생성
EmpMapper생성
EmpService생성
패키지vo에 CustromUser.java생성-커스텀마이징의 핵심
src/main/resources 에 패키지 edu.bit.ex.mapper ㅏㅁ들기
확장시키려면 두개 필요
UserDetailsService랑
jdbc djwp sql문썼던거 그건빠빠이
[security-custom-context.xml]에 memberdetailsService객체를 생성 = memberdetailsService.java를 끌고오는것과 똑같.
loadUserByUsername(핵심.반드시 외우기)를 오버라이딩하게 되면 String username에는 admin (....?)
스프링시큐리티가 .xml에서 객체생성하라고했는데(authentication어쩌구에) 로그인할때 String username이 넘어오게 되는것.
스프링시큐리티의 법칙:로그인하게되면 loadUserByUsername을 무조건 받아옴.-그냥 이렇게 외워두기
UserDetails
[security-custom-context.xml]-왜인진모르겠음 계속오류떠서 선생님거 그냥 복붙함
오류내용 무슨 service에 빈이 생성안된다고...
<?xml version="1.0" encoding="UTF-8"?>
<beans:beans
xmlns="http://www.springframework.org/schema/security"
xmlns:beans="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd
http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd">
<http auto-config="true" use-expressions="true">
<intercept-url pattern="/login/loginForm"
access="permitAll" />
<intercept-url pattern="/" access="permitAll" />
<intercept-url pattern="/admin/**"
access="hasRole('ADMIN')" />
<intercept-url pattern="/**"
access="hasAnyRole('USER, ADMIN')" />
<!--로그인 페이지 커스텀 화 -->
<form-login login-page="/login/loginForm"
default-target-url="/"
authentication-failure-url="/login/loginForm?error"
username-parameter="id" password-parameter="password" />
<logout logout-url="/logout" logout-success-url="/" />
<!-- 403 에러 처리 -->
<access-denied-handler
error-page="/login/accessDenied" />
</http>
<!-- 얘 빠빠이 <beans:bean id="userDetailsService" class="org.springframework.security.core.userdetails.jdbc.JdbcDaoImpl">
<beans:property name="dataSource" ref="dataSource" /> </beans:bean> -->
<beans:bean id="customNoOpPasswordEncoder"
class="edu.bit.ex.security.CustomNoOpPasswordEncoder" />
<!-- 얘 추가 -->
<beans:bean id="memberDetailsService"
class="edu.bit.ex.security.MemberDetailsService" />
<!-- addUser할때 필요. 추가. --> <!--얘도 빠빠이는 아님 -->
<beans:bean id="bcryptPasswordEncoder"
class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder" />
<!-- provider -->
<authentication-manager>
<authentication-provider>
<!-- ref="bcryptPasswordEncoder"를 "memberDetailsService"로 바꾸기 -->
<password-encoder ref="memberDetailsService" />
<!-- 이제 이건 유물. 더 이상 쓰지않는다. <jdbc-user-service data-source-ref="dataSource"
role-prefix="" users-by-username-query="select username, password, enabled
from users where username = ?" authorities-by-username-query="select username,
authority from authorities where username = ?" /> -->
</authentication-provider>
</authentication-manager>
</beans:beans>관련파일 - 이건 디코딩이안되어있기때문에 admin-admin만 가능
==================
오늘의 문제
1.emp 테이블을 스프링 시큐리티에서 커스텀마이징 하시오.
'코딩 > 수업 정리' 카테고리의 다른 글
| 21.02.23 [063] Tue (0) | 2021.02.23 |
|---|---|
| 21.02.22 [062] Mon (0) | 2021.02.22 |
| 21.02.18 [060] Thu (0) | 2021.02.18 |
| 21.02.17 [059] Wed (0) | 2021.02.17 |
| 21.02.16 [058] Tue (0) | 2021.02.16 |
댓글