스프링 시큐리티와 연계하여 로그인에 실패했을 경우 로그인화면으로 리다이렉트 시키면서 이메일을 다시 입력폼에 유지하려고 여러가지 시도를 해봤다.

스프링 시큐리티에서 로그인 실패를 담당하는 인터페이스는 AuthenticationFailureHandler 이다.

public interface AuthenticationFailureHandler {
 
/**
 * Called when an authentication attempt fails.
 * @param request the request during which the authentication attempt occurred.
 * @param response the response.
 * @param exception the exception which was thrown to reject the authentication
 * request.
 */
void onAuthenticationFailure(HttpServletRequest request,
HttpServletResponse response, AuthenticationException exception)
throws IOExceptionServletException;
}

위의 형태를 가지는 간단한 인터페이스로, 스프링 시큐리티 설정에서 formLogin() 에 설정하면 로그인이 실패했을 떄 호출되며 이에 대한 처리를 수행한다.

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
        .anyRequest().authenticated()
        // form 로그인 
        .and()
        .formLogin()
        .loginPage("/login").permitAll()
        .usernameParameter(USERNAME_PARAMETER)
        .passwordParameter(PASSWORD_PARAMETER)
        .successHandler(authenticationSuccessHandler()) (1)
        .failureHandler(authenticationFailureHandler()) (2)
}
 
// 생략 
@Bean
AuthenticationSuccessHandler authenticationSuccessHandler() {
    return new HoneymonUserAuthenticationSuccessHandler();
}
 
@Bean
AuthenticationFailureHandler authenticationFailureHandler() {
    return new HoneymonUserAuthenticationFailureHandler();
}
로그인 성공시 후속처리
로그인 실패시 후속처리

그리고 HoneymonUserAuthenticationFailureHandler가 호출되면 /login?error={message}&email={email}의 형식으로 리다이렉트되도록 해뒀다. 그런데 암만 로그인 실패가 나도 /login?error= 로 리다이렉트 되지를 않는 것이다. 이 문제 떄문에 한참 씨름을 했다.

public class HoneymonUserAuthenticationFailureHandler implements AuthenticationFailureHandler {
 
    @Override
    public void onAuthenticationFailure(HttpServletRequest request, HttpServletResponse response, AuthenticationException exception) throws IOExceptionServletException {
        if(exception instanceof BadCredentialsException) {
            exception = new BadCredentialsException("security.exception.bad_credentials");
        }
        response.sendRedirect("/login?error=" + exception.getMessage() + "&email=" + request.getParameter(USERNAME_PARAMETER));
    }
}

옆에 누군가가 봐줬으면 참 좋았을텐데…​

그러다가 정말 우연찮게

'아, 내가 LoginWeb' 클래스를 지우고 ViewController 로 처리하도록 했지?

하는 생각이 미쳤다. 리다이렉트가 되지 않고 있는 url에 대해서는 다음과 같이 설정되어 있었다.

@Configuration
public class WebConfig  extends WebMvcConfigurerAdapter {
  @Override
    public void addViewControllers(ViewControllerRegistry registry) {
        registry.addViewController("/login").setViewName("front/login");  // 로그인 
        registry.addViewController("/signup").setViewName("front/signup");  // 회원가입 
    }
}

이 간단한 설정이 나를 괴롭혔던 주 원인이었다.

ViewController 에서 /login 요청에 대한 처리를 수행하기는 하지만 뒤에 전달되는 파라미터들을 모두 소거시킨다는 것을 이해하지 못한 것이다.

어떤 장애든지 기본적인 접근은 그 장애에 영향을 주는 설정부터 살펴보도록 하자. ㅡ_-);; 내가 허비한 시간 우짤꺼야!!

This is a shortcut for defining a ParameterizableViewController that immediately forwards to a view when invoked. Use it in static cases when there is no Java controller logic to execute before the view generates the response.



  1. 2017.06.13 11:54

    비밀댓글입니다

    • ViewController 처리방법 대신,
      Controller 클래스를 정의해서 사용하시면 됩니다.

      @Controller
      @RequestMapping("/{url}";)
      public class HoneymonController {

      // 코드 생략
      }

HttpServletResponse 의 sendRedirect 메서드를 사용하다가 다음과 같은 메시지가 나왔다.

java.lang.IllegalStateException: Cannot call sendRedirect() after the response has been committed
at org.apache.catalina.connector.ResponseFacade.sendRedirect(ResponseFacade.java:494)
at javax.servlet.http.HttpServletResponseWrapper.sendRedirect(HttpServletResponseWrapper.java:138)
at javax.servlet.http.HttpServletResponseWrapper.sendRedirect(HttpServletResponseWrapper.java:138)
at org.springframework.security.web.firewall.FirewalledResponse.sendRedirect(FirewalledResponse.java:41)
at javax.servlet.http.HttpServletResponseWrapper.sendRedirect(HttpServletResponseWrapper.java:138)
at org.springframework.security.web.util.OnCommittedResponseWrapper.sendRedirect(OnCommittedResponseWrapper.java:128)
at javax.servlet.http.HttpServletResponseWrapper.sendRedirect(HttpServletResponseWrapper.java:138)
at org.springframework.security.web.util.OnCommittedResponseWrapper.sendRedirect(OnCommittedResponseWrapper.java:128)
  // 중략

이런 코드가 발생하는 경우를 찾아보면, 다음처럼 되어 있었다.

String redirectUrl = request.getRequestURI();
 
if(user.getStatus() == UserStatus.EMAIL_VERIFY) {
    response.sendRedirect(URL_SIGNUP_PROGRESS);
}
 
if(request.getRequestURI().contains("login") || request.getRequestURI().contains("sign")) {
    response.sendRedirect(URL_ROOT);
}
 
response.sendRedirect(redirectUrl);

예외 메시지를 살펴보니 sendRedirect 메서드가 호출된 이후에 재호출하려고 하면 java.lang.IllegalStateException: Cannot call sendRedirect() after the response has been committed 가 출력되는 것이다. 호출된 이후에는 다시 호출할 수 없다는 뜻으로 변경할 수 없다는 뜻이다.

이에 대한 해결책을 좀 찾아봤다.

이걸 해결항 수 있는 방법으로는,

String redirectUrl = request.getRequestURI();
 
if(user.getStatus() == UserStatus.EMAIL_VERIFY) {
    response.sendRedirect(URL_SIGNUP_PROGRESS);
} else if(request.getRequestURI().contains("login") || request.getRequestURI().contains("sign")) {
    response.sendRedirect(URL_ROOT);
} else {
    response.sendRedirect(redirectUrl);
}

와 같은 방식으로 완전히 조건문 내에서 한번만 호출되도록 처리하거나,

String redirectUrl = request.getRequestURI();
 
if(user.getStatus() == UserStatus.EMAIL_VERIFY) {
    redirectUrl = URL_SIGNUP_PROGRESS;
}
 
if(request.getRequestURI().contains("login") || request.getRequestURI().contains("sign")) {
    redirectUrl = URL_ROOT;
}
 
response.sendRedirect(redirectUrl);

위의 코드처럼 조건을 모두 마친 후에 마지막에 sendRedirect 를 호출하는 것이다. 마지막 방법이 좀 더 괜찮은 처리방법이라는 생각이…​


the Java API for Microsoft Documents 을 지향하는Apache POI를 이용한 엑셀 생성 및 다운로드 기능 구현을 해보겠다.

현재 배포중인 버전에 대해서는 Maven central Repository 를 통해서 그때그때 확인하기 바란다.

1. 의존성 추가

1.1. pom.xml

<dependency>
    <groupId>org.apache.poi</groupId>
    <artifactId>poi</artifactId>
    <version>3.14</version>
</dependency>

1.2. build.gradle

compile ('org.apache.poi:poi:3.14')

2. 간단한 테스트

POI에 대한 의존성을 추가했으면 간단한 예제를 구현하여 엑셀과 관련된 WorkBook(=file), Sheet, Row, Cell 에 대한 기능을 확인하자.

@Slf4j
public class SheetServiceTest {
    /**
     * @throws Exception
     * @see <a href="https://poi.apache.org/spreadsheet/quick-guide.html#NewWorkbook"></a>
     */
    @Test
    public void generateWorkBook() throws Exception {
        List<Dump> dumps = generateDump(10, "a", "b", "c", "d");
        String excelFileName = "test.xls";
        String sheetname = "send-check-1";
 
        Workbook workbook = new HSSFWorkbook();
        workbook.createSheet(sheetname);
 
 
        Sheet sheet = workbook.getSheet(sheetname);
 
        int size = dumps.size();
        Row headerRow = sheet.createRow(0);
        headerRow.createCell(0).setCellValue("A column");
        headerRow.createCell(1).setCellValue("B column");
        headerRow.createCell(2).setCellValue("C column");
        headerRow.createCell(3).setCellValue("D column");
 
        for (int rownum = 0; rownum < size; rownum++) {
            Row row = sheet.createRow(rownum + 1);
            row.createCell(0).setCellValue(dumps.get(rownum).getA());
            row.createCell(1).setCellValue(dumps.get(rownum).getB());
            row.createCell(2).setCellValue(dumps.get(rownum).getC());
            row.createCell(3).setCellValue(dumps.get(rownum).getD());
        }
 
        generateExcel(Paths.get(excelFileName).toString(), workbook);
 
        assertThat(Paths.get(excelFileName).toFile().exists()).isTrue();
        assertThat(workbook.getSheet(sheetname)).isNotNull();
        assertThat(sheet.getLastRowNum()).isEqualTo(10);
        assertThat(sheet.getRow(sheet.getFirstRowNum()).getCell(0).toString()).isEqualTo("A column");
        assertThat(sheet.getRow(sheet.getLastRowNum()).getCell(0).toString()).isEqualTo("a9");
 
        Paths.get(excelFileName).toFile().delete();
    }
 
    private List<Dump> generateDump(int it, String a, String b, String c, String d) {
        List<Dump> dumps = Lists.newArrayList();
        for (int i = 0; i < it; i++) {
            dumps.add(Dump.builder().a(+ "" + i).b(+ "" + i).c(+ "" + i).d(+ "" + i).build());
        }
        return dumps;
    }
 
    private void generateExcel(String filePath, Workbook workbook) {
        log.debug("generate excel: {}", filePath);
        try (FileOutputStream fileOut = new FileOutputStream(filePath);) {
            workbook.write(fileOut);
        } catch (Exception e) {
            log.error("Occur exception: {}", e);
        }
    }
 
    @Data
    @NoArgsConstructor
    @AllArgsConstructor
    @Builder
    public static class Dump {
        String a;
        String b;
        String c;
        String d;
    }
}

3. 스프링MVC 에서 구현

스프링에서 제공하던 AbstractExcelView 는 4.2 에서 Deprecated되었다. AbstractXlsView 를 사용해볼까 했는데 apache POI 3.14 버전에서는 XSSFWorkbook 관련한 패키지가 사라져서 쓸 수 없다. 3.16 버전에는 SXSSFWorkbook 관련 패키지가 추가될 것으로 보이니 3.16 쓸 때는 SXSSFWorkbook 사용을 고려해보자. AbstractXlsView를 사용하도록 하자.

3.1. AbstractXlsView 을 구현

@Component("downloadXlsView") // 공통적으로 사용할 수도 있고... 특정 기능에 따라 뷰이름을 구분지어 사용할 수 있겠다. 
public class SendCheckRequestExportXlsView extends AbstractXlsView {
  // 코드는 중략... 상상의 나래를 활짝 펴라~ 
  @Override
    protected void buildExcelDocument(Map<String, Object> model, Workbook workbook, HttpServletRequest request, HttpServletResponse response) throws Exception {
 
    }
}

org.springframework.web.servlet.view.document 패키지에AbstractXlsView 와 AbstractPdfView 가 있다. AbstractXlsxView는 AbstractXlsView 를 확장했는데 import org.apache.poi.xssf.usermodel.XSSFWorkbook 를 필요로 한다. 그런데 POI 3.14 에는 org.apache.poi.xssf 패키지가 빠져있다. 히스토리는 모르겠다.

3.2. Controller 에서 view 를 반환

@Controller
public class DownloadController {
  @RequestMapping("/download-xls")
  public ModelAndView() {
    // view 에서 처리하는데 필요한 데이터를 담아주면 되겠다. 
    return new ModelAndView("downloadXlsView", "model", model);
  }
}

이렇게 하고 이 컨트롤러에 대한 링크를 제공하면 다운로드 처리가 완료된다.

<a href="/download-xls"></a>

4. 정리

엑셀에 필요한 정보를 담기 위해서는 여전히 많은 노력이 필요하다. 뭐 그래도 어떤 데이터들을 출력할지만 정의하면 비교적 처리가 수월해진다.


스프링 시큐리티를 이용해서 애플리케이션의 로그인처리를 하는 예제는 많이 있다. 거기에 OTP(One Time Password) 를 함께 사용하여 보안을 조금 더 강화해보도록 하겠다. 보통 TOTP(Time based One-time Password) 라고도 하는데 사용자에게 할당된 비밀키SecretKey와 OTP 킷에서 시간을 기준으로 생성하는 검증코드(Verification Code) 를 조합하여 인증가능한지 여부를 확인하는 것이다. 이때 사용자에게 할당되는 비밀키는 일회성으로 요청에 따라 새롭게 발급하는 식으로 운영이 된다. 

보통은 issuer + username + secretKey 를 이용하여 등록가능한 QR코드로 애플리케이션에 등록하는 형식을 취하게 된다.

QR리더를 이용해서 담겨있는 내용을 읽어보면 다음과 같다:

otpauth://totp/{issuer}:{username}?secret={secretKey}&issuer={issuer}

의 형식을 취한다. 이때 생성되는 secretKey는 일회성이다. 만약 외부에 노출될 경우에는 새롭게 secretKey를 발급받고 기존에 등록하 OTP 정보를 삭제하고 다시 등록해줘야 한다.

사용자에게 비밀번호를 변경하라(?)는 부담을 주지 않아도 된다. OTP 용 비밀키만 재발급하면 된다. 응?

2단계 인증과 관련한 내용은 구글의 2단계인증 과정에 대한 설명을 살펴보시면 더욱 좋을 듯 하다.

그럼 예제를 살펴보도록 하자.

spring-security-2step-verification 프로젝트

h2databse 는 기본구성이 메모리로 실행된다.

application.yml 설정

spring:
  datasource:
    initialize: true # data.sql 을 이용한 DB 초기화 작업
  mail:
    default-encoding: UTF-8
    username: #${username}
    password: #${password}
    host: smtp.gmail.com
    port: 587
    protocol: smtp
    properties:
      mail.smtp.starttls.enable: true
      mail.smtp.auth: true
  h2: # jdbc ur: jdbc:h2:mem:testdb
    console: # http://localhost:8080/h2-console
      enabled: true

OTP SecretKey 발급

UserServiceImpl
@Override
	public User insert(User user) {
		GoogleAuthenticatorKey key = googleAuthenticator.createCredentials();
		sendTOTPRegistrationMail(user, key);
		user.setOtpSecretKey(key.getKey());

		encodePassword(user);
		return repository.save(user);
	}

	private void sendTOTPRegistrationMail(User user, GoogleAuthenticatorKey key) {
		String qrCodeUrl = GoogleAuthenticatorQRGenerator.getOtpAuthURL(ISSUER, user.getUsername(), key);
		Map<String, Object> attributes = new HashMap<>();
		attributes.put("qrCodeUrl", qrCodeUrl);

		MailMessage mailMessage = MailMessage.builder()
				.templateName(MailMessage.OTP_REGISTRATION)
				.to(new String[]{user.getUsername()})
				.subject("Honeymon TOTP Registration mail")
				.attributes(attributes)
				.build();
		mailService.send(mailMessage);
	}

위의 코드를 보면 알겠지만 사용자 엔티티를 생성하는 순간에 인증키를 생성하여 secretKey를 사용자 엔티티에 할당하고, 그와 동시에 등록된 사용자 계정으로 메일을 발송한다.

사용자 계정생성 -> OTP 비밀키 생성 및 할당 -> OTP 등록 QR코드를 내장한 메일 발송 -> 사용자: OTP 디바이스에 등록 -> 로그인시 사용자명/비밀번호/OTP 검증코드

로그인때 입력하는 검증코드는 일반적으로 6자리를 사용하며 일정시간동안만 유효성을 가진다.

그 결과는 다음과 같으며,

이 QR코드를 Google OTP 앱에서 읽어들이면 다음과 같이 추가된다.


이제 OTP 코드는 일정간격으로 갱신된다. 


갱신되는 타이밍이 맞지 않으면 인증실패가 발생한다.

정상적으로 로그인하면 다음과 같은 화면을 볼 수 있다.


정리

2단계 인증은 비밀번호와 단말기(스마트폰, OTP 킷)가 있어야 로그인을 할 수 있다. 서버쪽에서 계정정보가 유출된다면, 바로 OTP용 비밀키를 초기화하고 사용자에게 재등록하도록 안내를 하면 계정이 도용되는 사례를 쉽게 막을 수 있는 장점을 제공한다.

2단계 인증을…​ 제대로 활용할 수 있다면 꽤 쓸만할 듯 하다.

참고문헌


  1. 나그네 2018.06.29 13:15 신고

    그런데 가상화폐 거래소는 아이디 패스워드 입력 후 페이지 이동 후 otp번호 입력하던데 이렇게 따로따로 전송하는건 어떻게 구현하는 걸까요?

    • 잘?

      로그인하고 인증하는 절차는 시스템에 따라 얼마든지 구현이 가능하죠.

      1차적으로 기본인증(사용자명+비밀번호)을 마쳤다면 1차 인증마쳤다는 정보를 세션이나 헤더 등에 저장시켜놓고 2차 인증(OTP)하는 페이지로 리다이렉트 시켜서 최종구현하면 되니까....

  2. 나그네 2018.06.30 11:04 신고

    그렇군요 근데 spring security를 잘 모르니깐 커스터마이징하기가 쉽지는않네요ㅋㅋ 일단 연구해봐야겟네용

타임리프의 확장은 쉽다. 방언(다이얼렉트,Dialect)를 생성하고 템플릿엔진에 추가하면 된다.

Dialect

타임리프 다이얼렉트는 템플릿에서 사용할 수 있는 기능이다.

다음과 같이 동작하는 다이얼렉트를 작성해보자.

<p hello:sayto="Jake">Hi ya!</p>

모든 다이얼렉트 는 IDialect 를 구현해야한다. 이를 용이하게 할 수 있도록AbstractDialect 을 이용한다. IProcessorDialect 는 실제로 Dialect 가

HelloDialect
public class HelloDialect extends AbstractDialect implements IProcessorDialect {
    public static final String PREFIX = "hello";
    public static final int PRECEDENCE = 501;
 
    public TimezoneDateDialect() {
        super("hello-dialect");
    }
 
    @Override
    public String getPrefix() {
        return PREFIX;
    }
 
    @Override
    public int getDialectProcessorPrecedence() {
        return PRECEDENCE;
    }
 
    @Override
    public Set<IProcessor> getProcessors(String dialectPrefix) {
        Set<IProcessor> iProcessors = Sets.newHashSet()
        iProcessors.add(new SayToProcessor(dialectPrefix)); (1)
        return iProcessors;
    }
}
뭔가~ 다른 것들을 추가할 수 있을 것 같지 않은가??

그럼 이제 이 다이얼렉트가 호출하여 실체 로직처리를 수행할 프로세스를 작성해보자.

SayToProcessor
public class SayToProcessor extends AbstractStandardExpressionAttributeTagProcessor {
 
    public static final String ATTR_NAME = "sayTo";
    public static final int PRECEDENCE = 1501;
 
    public SayToProcessor(String dialectPrefix) {
        super(TemplateMode.HTML, dialectPrefix, ATTR_NAMEPRECEDENCEtrue);
    }
 
    @Override
    protected void doProcess(ITemplateContext contextIProcessableElementTag tagAttributeName attributeNameString attributeValueObject expressionResultIElementTagStructureHandler structureHandler) {
        //TODO 비즈니스로직처리!! 
        structureHandler.setBody("Hello, " + expressionResult, false);
    }
}

작성한 다이얼렉트 를 템플릿엔진에 추가하자.

@Bean
public SpringTemplateEngine templateEngine() {
    SpringTemplateEngine engine = new SpringTemplateEngine();
    engine.setTemplateResolver(templateResolver());
    engine.setMessageSource(messageSource);
    engine.addDialect(new HelloDialect());
    return engine;
}

을 구현하고 나면!! 끝이 난다. 실제로 화면을 불러와 보면

<p>HelloJake!</p>

으로 출력되는 것을 볼 수 있을 것이다.


+ Recent posts