Spring Boot REST API Spring Security 고유키 만들어서 접근 제한하기(api key and secret)

망 자체는 공용망을 사용하지만, 접근은 특정 인증키를 확인하여 접근을 가능토록 구현을 하고 싶었습니다.

구글에 일반적으로 Spring Security API Key 등을 검색하면 JWT 등과 로그인.. 비밀번호 와 같은 포스팅이 검색됩니다.

이 포스팅에서는 해당 내용이 아니니, 참고 바랍니다.

해당 포스팅은 https://stackoverflow.com/questions/48446708/securing-spring-boot-api-with-api-key-and-secret 해당 글을 인용하였으니 참고 바랍니다.

1. APIKeyAuthFilter.java 를 만들어줍니다.

필자 같은 경우는 이러한 경로에 만들었습니다.

2. 아래와 같이 시큐리티 필터 코드를 작성해줍니다.

import org.springframework.security.web.authentication.preauth.AbstractPreAuthenticatedProcessingFilter;

import javax.servlet.http.HttpServletRequest;

public class APIKeyAuthFilter extends AbstractPreAuthenticatedProcessingFilter {

    private String principalRequestHeader;

    public APIKeyAuthFilter(String principalRequestHeader) {
        this.principalRequestHeader = principalRequestHeader;
    }

    @Override
    protected Object getPreAuthenticatedPrincipal(HttpServletRequest request) {
        return request.getHeader(principalRequestHeader);
    }

    @Override
    protected Object getPreAuthenticatedCredentials(HttpServletRequest request) {
        return "N/A";
    }
}

3. 시큐리티 콘피그를 아래와 같이 설정합니다.

import lombok.RequiredArgsConstructor;
import org.springframework.beans.factory.annotation.Value;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.authentication.BadCredentialsException;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter;
import org.springframework.security.config.http.SessionCreationPolicy;;

@RequiredArgsConstructor
@Configuration
public class SecurityConfiguration extends WebSecurityConfigurerAdapter {

    @Value("${appname.http.auth-token-header.name}")
    private String principalRequestHeader;

    @Value("${appname.http.auth-token}")
    private String principalRequestValue;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        APIKeyAuthFilter filter = new APIKeyAuthFilter(principalRequestHeader);
        filter.setAuthenticationManager(authentication -> {
            String principal = (String) authentication.getPrincipal();
            if (!principalRequestValue.equals(principal))
                throw new BadCredentialsException("The API key was not found or not the expected value.");
                
            authentication.setAuthenticated(true);
            return authentication;
        });

        http
                .cors().disable()
                .csrf().disable()
                .sessionManagement()
                    .sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                .and()
                .addFilter(filter)
                    .authorizeRequests()
                        .anyRequest()
                            .authenticated()
                .and().formLogin().disable();
    }
}

위와 같이 작성해줍니다.

@Value 어노테이션의 "appname" 부분은 자신의 프로젝트 어플리케이션 이름을 써두면 좋을 것 같습니다.

4. 스프링 application 설정 파일에 들어갑니다. (application.yml or application.properties)

필자는 yml 파일로 작성하여 사용중이니 참고 바랍니다.

이곳에

appname:
  http:
    auth-token-header:
      name: Authorization
    auth-token: fdasrv34atdzbt4zeex7y

이러한 식으로 작성해줍니다.

auth-token-header.name 는 인증키 값이 포함될 헤더의 파라미터 이름을 지정해주고

auth-token 에 인증키 값을 지정합니다.

4. 이제 인증키가 유효하지 않을 경우 Whitelabel Error Page 를 표시하게 됩니다.

(스프링 시큐리티 콘피그의 BadCredentialsException 에 throw 된 것입니다)

ControllerAdvice 등을 이용하여 RESTAPI 성격에 맞게 json 으로 리턴을 해줄 수 있도록 작성해 주시면 되겠습니다.

저작자표시 비영리

티스토리툴바