SPRING
스프링으로 쇼핑몰을 만들어보자12 - 비밀번호 인코딩 적용
기능구현
- 회원가입(주소API연동, 이메일 인증, ajax를 사용하여 아이디 중복검사)
- 관리자 페이지(인터셉터 적용, 상품관리, 회원관리)
- 업로드(이미지 등록, 수정, 삭제)
- 검색
- 페이징
- 구매(장바구니, 포인트사용)
- 댓글(등록,수정,삭제)
- 중간에 막혔거나 에러 해결 못하겠으면 yoonbitnara@gmail.com 으로 문의
순서
- BCryptPasswordEncoder 기본 설정
- pom.xml 추가
- security-context.xml 생성 및 수정
- web.xml 수정
- 회원가입 메서드 적용
- 회원가입 테스트
- 실제 회사에서 사용할 웹 애플리케이션을 제작하고 있다고 가정하겠다. 우리는 비밀번호를 데이터베이스에 저장하고 있다. 데이터베이스 자체에 보안이 되어 있을 것이지만 만약 뚫리게 된다면 비밀번호가 무방비하게 노출된다는 문제점이 있다. 이러한 문제점을 보완하기 위해 비밀번호가 노출이 되더라도 알아볼 수 없도록 암호화하는 방법이 있을것이다. 비밀번호를 인코딩(암호화) 해주고 사용자가 제출한 비밀번호와 데이터베이스에 저장된 인코딩 된 비밀번호가 일치하는지 확인해주는 메서드를 제공해주는 클래스가 바로 BCryptPasswordEncoder 클래스이다.
- BCryptPasswordEncoder에 대한 정보는 나중에 따로 정리하도록 하겠다.
BCryptPasswordEncoder 기본 설정
- pom.xml 추가(ver 5.4.2)
<!-- https://mvnrepository.com/artifact/org.springframework.security/spring-security-core -->
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-core</artifactId>
<version>5.4.2</version>
</dependency>
<!-- https://mvnrepository.com/artifact/org.springframework.security/spring-security-web -->
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-web</artifactId>
<version>5.4.2</version>
</dependency>
<!-- https://mvnrepository.com/artifact/org.springframework.security/spring-security-config -->
<dependency>
<groupId>org.springframework.security</groupId>
<artifactId>spring-security-config</artifactId>
<version>5.4.2</version>
</dependency>
security-context.xml 생성 및 수정
- Spring Security와 관련된 빈과 설정을 따로 관리하기 위해서 security-context.xml 파일을 새로 만들어서 설정하겠다.
- servlet-context.xml 파일이 있는 경로
(src/main/webapp/WEB-INF/spring/appServlet)에서 우클릭 후 New - Spring Bean Configuration File 클릭 후 security-context’ 이름의 파일을 ‘benas’와 ‘security’ namespaces를 추가 해준 뒤 생성. - security namespace의 경우 버전이 적히지 않은 것을 선택한다.
- 생성한 파일에 BcripptPasswordEncoder를 빈으로 등록하기 위해 아래의 코드를 추가해준다.
<?xml version="1.0" encoding="UTF-8"?>
<beans xmlns="http://www.springframework.org/schema/beans"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xmlns:security="http://www.springframework.org/schema/security"
xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans.xsd
http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security.xsd">
<bean id="bcryptPasswordEncoder" class="org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder"></bean>
</beans>
web.xml 수정
- web.xml에서 servlet-context.xml의 경로가 적힌 태그 안에 줄 바꿈을 하여 동일하게 security-context.xml파일의 위치를 작성한다. 해당 과정을 통해 스프링이 security-context.xml을 인식할 수 있도록 한다.
- 변경전
<!-- Processes application requests -->
<servlet>
<servlet-name>appServlet</servlet-name>
<servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
<init-param>
<param-name>contextConfigLocation</param-name>
<param-value>/WEB-INF/spring/appServlet/servlet-context.xml</param-value>
</init-param>
<load-on-startup>1</load-on-startup>
</servlet>
- 변경후
<!-- Processes application requests -->
<servlet>
<servlet-name>appServlet</servlet-name>
<servlet-class>org.springframework.web.servlet.DispatcherServlet</servlet-class>
<init-param>
<param-name>contextConfigLocation</param-name>
<param-value>
/WEB-INF/spring/appServlet/servlet-context.xml
/WEB-INF/spring/appServlet/security-context.xml
</param-value>
</init-param>
<load-on-startup>1</load-on-startup>
</servlet>
회원가입 메서드 적용
- 가장 먼저 BCriptPasswordEncoder를
@Autowired어노테이션을 이용해서 의존성 주입을 한다. 변수는 자신이 원하는 이름을 작성하면 된다.
- 회원가입 메서드를 수정할 차례이다. 수정하기 앞서 기존 코드의 흐름을 살펴보겠다. 기존의 코드의 흐름은 사용자가 작성한 회원가입 정보를
MemberVO클래스 타입의 member를 통해 데이터를 받아온다. 회원의 정보가 담긴 member를 매개변수로 한 memberJoin() 메서드를 호출하게 되고 이를 통해 BOOK_MEMBER 테이블에 데이터를 insert하는 쿼리문이 실행된다.
회원정보가 담긴 member => memberJoin()을 호출하여 회원가입 쿼리 실행
- 우리가 하고자 하는 바는 회원의 정보가 등록될 때 회원의 비밀번호를 그대로 등록하는 것이 아니라 비밀번호를 사람이 알아볼 수 없는 형태의 문자열로 인코딩을 한 후 저장하고자 한다. 따라서 우리는 member객체에서 비밀번호를 꺼낸 뒤 비밀번호를 BCryptPasswordEncoder클래스의 encode()메서드를 사용하여 인코딩을 한다. 인코딩을 한 비밀번호를 member객체에 다시 저장 한 뒤 memberJoin()메서드를 실행하여 회원정보를 등록하는 쿼리문을 실행한다.
회원정보가 담긴 member => member에 저장된 비밀번호를 꺼냄 => encode() 메서드를 통해 꺼낸 비밀번호 인코딩 => 인코딩 된 비밀번호를 member 객체에 다시 저장 => memberJoin()을 호출하여 회원가입 쿼리 실행
- 회원가입 쿼리는 그대로 사용할 것이기 때문에 MemberController 클래스에 있는 코드만 수정해주면 된다. 회원가입 메서드에 return문을 제외하고 기존의 코드를 주석 처리를 하거나 지워준다.
- 먼저 인코딩 되기 전 비밀번호와 인코딩 후 비밀번호를 잠시 저장시켜둘 String 타입의 변수를 선언한다.
// 회원가입
@RequestMapping(value = "/join", method = RequestMethod.POST)
public String joinPost(MemberVO member) throws Exception {
logger.info(">>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>> join 진입");
String rawPw = ""; // 인코딩 전 비밀번호
String encodePw = ""; // 인코딩 후 비밀번호
return "redirect:/main";
}
- member객체로부터 비밀번호 데이터를 얻어내서 해당 비밀번호 데이터를 인코딩한 뒤 다시 member객체에 저장시키는 코드를 추가해준다.
String rawPw = ""; // 인코딩 전 비밀번호
String encodePw = ""; // 인코딩 후 비밀번호
rawPw = member.getMemberPw(); // 비밀번호 데이터 얻음
encodePw = pwEncoder.encode(rawPw); // 비밀번호 인코딩
member.setMemberPw(encodePw); // 인코딩된 비밀번호 member객체에 다시 저장
- 회원의 정보가 담긴 member 인스턴스를 인자 값으로 하는 memberJoin()메서드를 호출하여 회원가입 쿼리가 실행되도록 코드를 작성한다.
String rawPw = ""; // 인코딩 전 비밀번호
String encodePw = ""; // 인코딩 후 비밀번호
rawPw = member.getMemberPw(); // 비밀번호 데이터 얻음
encodePw = pwEncoder.encode(rawPw); // 비밀번호 인코딩
member.setMemberPw(encodePw); // 인코딩된 비밀번호 member객체에 다시 저장
/* 회원가입 쿼리 실행 */
memberService.memberJoin(member);
- 비밀번호가 저장되는 회원가입 메서드를 완성하였다.
TEST
