스프링 시큐리티를 이용해서 애플리케이션의 로그인처리를 하는 예제는 많이 있다. 거기에 OTP(One Time Password) 를 함께 사용하여 보안을 조금 더 강화해보도록 하겠다. 보통 TOTP(Time based One-time Password) 라고도 하는데 사용자에게 할당된 비밀키SecretKey와 OTP 킷에서 시간을 기준으로 생성하는 검증코드(Verification Code) 를 조합하여 인증가능한지 여부를 확인하는 것이다. 이때 사용자에게 할당되는 비밀키는 일회성으로 요청에 따라 새롭게 발급하는 식으로 운영이 된다.
보통은 issuer + username + secretKey
를 이용하여 등록가능한 QR코드로 애플리케이션에 등록하는 형식을 취하게 된다.
QR리더를 이용해서 담겨있는 내용을 읽어보면 다음과 같다:
otpauth://totp/{issuer}:{username}?secret={secretKey}&issuer={issuer}
의 형식을 취한다. 이때 생성되는 secretKey는 일회성이다. 만약 외부에 노출될 경우에는 새롭게 secretKey를 발급받고 기존에 등록하 OTP 정보를 삭제하고 다시 등록해줘야 한다.
사용자에게 비밀번호를 변경하라(?)는 부담을 주지 않아도 된다. OTP 용 비밀키만 재발급하면 된다. 응?
2단계 인증과 관련한 내용은 구글의 2단계인증 과정에 대한 설명을 살펴보시면 더욱 좋을 듯 하다.
그럼 예제를 살펴보도록 하자.
spring-security-2step-verification 프로젝트
Spring security 2step verification
Spring Boot: Spring Data JPA + Spring Security + Spring Web + Thymeleaf + Google Auth
h2databse 는 기본구성이 메모리로 실행된다.
application.yml
설정
spring:
datasource:
initialize: true # data.sql 을 이용한 DB 초기화 작업
mail:
default-encoding: UTF-8
username: #${username}
password: #${password}
host: smtp.gmail.com
port: 587
protocol: smtp
properties:
mail.smtp.starttls.enable: true
mail.smtp.auth: true
h2: # jdbc ur: jdbc:h2:mem:testdb
console: # http://localhost:8080/h2-console
enabled: true
OTP SecretKey 발급
UserServiceImpl
@Override
public User insert(User user) {
GoogleAuthenticatorKey key = googleAuthenticator.createCredentials();
sendTOTPRegistrationMail(user, key);
user.setOtpSecretKey(key.getKey());
encodePassword(user);
return repository.save(user);
}
private void sendTOTPRegistrationMail(User user, GoogleAuthenticatorKey key) {
String qrCodeUrl = GoogleAuthenticatorQRGenerator.getOtpAuthURL(ISSUER, user.getUsername(), key);
Map<String, Object> attributes = new HashMap<>();
attributes.put("qrCodeUrl", qrCodeUrl);
MailMessage mailMessage = MailMessage.builder()
.templateName(MailMessage.OTP_REGISTRATION)
.to(new String[]{user.getUsername()})
.subject("Honeymon TOTP Registration mail")
.attributes(attributes)
.build();
mailService.send(mailMessage);
}
위의 코드를 보면 알겠지만 사용자 엔티티를 생성하는 순간에 인증키를 생성하여 secretKey를 사용자 엔티티에 할당하고, 그와 동시에 등록된 사용자 계정으로 메일을 발송한다.
사용자 계정생성 -> OTP 비밀키 생성 및 할당 -> OTP 등록 QR코드를 내장한 메일 발송 -> 사용자: OTP 디바이스에 등록 -> 로그인시 사용자명/비밀번호/OTP 검증코드
로그인때 입력하는 검증코드는 일반적으로 6자리를 사용하며 일정시간동안만 유효성을 가진다.
그 결과는 다음과 같으며,
이 QR코드를 Google OTP 앱에서 읽어들이면 다음과 같이 추가된다.
이제 OTP 코드는 일정간격으로 갱신된다.
갱신되는 타이밍이 맞지 않으면 인증실패가 발생한다.
정상적으로 로그인하면 다음과 같은 화면을 볼 수 있다.
정리
2단계 인증은 비밀번호와 단말기(스마트폰, OTP 킷)가 있어야 로그인을 할 수 있다. 서버쪽에서 계정정보가 유출된다면, 바로 OTP용 비밀키를 초기화하고 사용자에게 재등록하도록 안내를 하면 계정이 도용되는 사례를 쉽게 막을 수 있는 장점을 제공한다.
2단계 인증을… 제대로 활용할 수 있다면 꽤 쓸만할 듯 하다.
참고문헌
구글에서 공개한 C로 작성된 Google Authenticator 를 자바로 구현한 오픈소스 프로젝트다.
구글에서 공개한 C로 작성된 Google Authenticator 를 자바로 구현한 오픈소스 프로젝트다.
'Java > Framework & Libs' 카테고리의 다른 글
untitled Preview java.lang.IllegalStateException: Cannot call sendRedirect() after the response has been committed (0) | 2016.09.11 |
---|---|
20160806 Spring MVC 에서 엑셀다운로드 기능 구현하기 (0) | 2016.08.06 |
[thymeleaf] dialect 정의하기 (0) | 2016.06.10 |
[스프링] 컨트롤러 내에서 NullPointException 발생, @ControllerAdvice로 잡은 것이 안먹히네 (0) | 2016.01.13 |
[스프링] 스프링 프레임워크 이야기... (1) | 2015.11.06 |