쌩구현했던 구글 OAuth 인증 프로젝트에 Spring Security 적용하기

 

어제 하루동안 라이브러리 도움 없이, 여러 요청이 왔다갔다 하는 과정을 쌩으로 구현해서

구글 OAuth 간편 회원가입을 구현해보았었다.

📄 Spring Security, OAuth2 Client 라이브러리 쓰지 않고 구글 OAuth 회원가입 구현하기

 

이번에는 Spring Security와 OAuth2 Client 를 사용하는 방식으로 바꿔보았다.

 

이 과정에서 생각보다 고생했다.

이유는 Spring Security 버전이 무려 6.2.7이었기 때문이다.

 

스프링 시큐리티 6 버전 이상은 어떻게 설정해야 하는지에 대한 강의나 교재가 거의 없었고,

공식 문서를 뒤져봐도 잘 못찾겠어서 고생해가면서 겨우겨우 설정했다.

 

가장 큰 차이점은, 스프링 필터 체인에 시큐리티 필터를 등록하는 방법이었다.

스프링 시큐리티 5.7.x 버전에서는 SecurityConfig 파일이 WebSecurityConfigurerAdapter를 상속받고,

configure() 메서드를 오버라이딩하여 이곳에서 인증, 인가에 대한 설정을 진행한다.

 

스프링 시큐리티 6.2.x 버전에서는 WebSecurityConfigurerAdapter 클래스가 사라졌고 (deprecated된 것도 아니라 아예 빠졌다!!)

시큐리티 필터 체인을 빈으로 등록해야 한다. 이 시큐리티 필터 체인에서 인증, 인가에 대한 설정을 해야 한다.

 

 

전체 소스코드는 깃허브 원격 리포지토리를 만들어서 저장해두었다.

 

 

스프링 시큐리티를 도입하면서 달라진 또 하나는, 프론트 서버의 OAuth 인증 요청 부분이다.

기존 방식에서는, 프론트엔드 서버에서 OAuth 인증 페이지로 직접 요청을 보냈었다.

 

그러나 시큐리티 도입 후, OAuth 인증 페이지로의 요청은 백엔드 서버의 `/oauth2/authorization/google` url로부터 시작된다.

따라서 프론트 서버는 해당 백엔드 서버의 엔드포인트로 GET요청을 보내는 방식으로 변경되었다.

    - 왜냐하면 스프링 시큐리티가 OAuth 인증의 모든 흐름(OAuth 인증 페이지로 요청을 보내는 것부터 사용자 정보를 받아오는 것까지 모두!)을 관리해주기 때문이다.

    - 프론트 서버에서 직접 OAuth 서버로 인증 요청을 보냈더니, authorization_request_not_found 에러가 발생하면서 애플리케이션이 제대로 동작하지 않았다.

    - 이유는 프론트 서버에서 직접 OAuth 서버로 인증 요청을 보내는 경우, 프론트 서버에서 설정한 state 파라미터의 값과, Spring Security에서 내부적으로 생성한 state값의 충돌이 발생하기 때문이다.

 

 

 

기본적인 구현이기 때문에 크게 기억나는 건 이정도이고,

전체 흐름을 잘 정리해보면서 코드를 고도화시켜봐야겠다.