39,600원
다른 수강생들이 자주 물어보는 질문이 궁금하신가요?
- 해결됨스프링부트 JUnit 테스트 - 시큐리티를 활용한 Bank 애플리케이션
Builder 사용 궁금
제가 선생님 포토그램 강의를 들을 때는 엔티티클래스 위에 @Builder 어노테이션을 붙혔는데 이번강의에서는 엔티티클래스 내부에 생성자를 만들고 생성자메서드 위에 @Builder 어노테이션을 사용한 이유가 있을까요 ?
- 미해결스프링부트 JUnit 테스트 - 시큐리티를 활용한 Bank 애플리케이션
authenticationEntryPoint 질문
굳이 authenticationEntryPoint 에 들어갈 내용을 CustomREsponseUtil 로 빼는 이유가 무엇인가요 ??실무에서는 따로 뺄 만큼 들어가는 내용이 길어지나요 ? ?
- 미해결스프링부트 JUnit 테스트 - 시큐리티를 활용한 Bank 애플리케이션
로그아웃 질문입니다.
안녕하세요 강사님.현재 강의를 듣고 로그인과 회원가입은 서버에 구축하는 것으로 이해하였습니다.혹시 로그아웃의 경우에는 어떻게 처리를 해줘야 하는건지 궁금합니다. 현재 강의에서 쓴 코드를 백엔드로 쓰고, 프론트엔드는 리액트를 한번 사용해서 로그인했을떄 반환하는 토큰을 저장하려고 하는데 로그아웃 버튼을 눌렀을 떄는 어떻게 처리해야하는지 궁금합니다...! 로컬스토리지에서 토큰을 지우는 작업만 하는지, 아니면 서버에서 처리해줘야 하는지와 구현 방식도 혹시 가르쳐주실수 있으면 조언 주시면 너무나 감사하겠습니다.. 좋은하루되세요!!!
- 미해결스프링부트 JUnit 테스트 - 시큐리티를 활용한 Bank 애플리케이션
jwt + OAuth2 문의
안녕하세요 현재 jwt 코드 리뷰 까지 듣고수업 코드를 참고해 oauth2 + jwt를 만들어보고 있는데요응답한 jwt토큰이 요청 헤더에 포함되지 않는 문제를도무지 해결하지 못해서 질문드립니다 ㅠㅠ OAuth2 로그인-> loadUser에서 유저 정보를 받아 임시 세션에 저장 -> 핸들러에서 토큰 생성후 응답. 순서로 만들었습니다. OAuth2User 구현체에 유저 정보 세팅해 임시 세션에 저장시켰습니다.@Service public class CustomOauth2UserService extends DefaultOAuth2UserService { @Override public OAuth2User loadUser(OAuth2UserRequest userRequest) throws OAuth2AuthenticationException { OAuth2User oAuth2User = super.loadUser(userRequest); UserEntity userEntity = new UserEntity(); userEntity.setProvider(userRequest.getClientRegistration().getClientName()); userEntity.setUsername(oAuth2User.getAttribute("name")); userEntity.setEmail(oAuth2User.getAttribute("email")); userEntity.setRole("ROLE_USER"); // oAuth2User 와 userEntity 로 OAuth2User 구현체 생성 return new DefaultOauth2User(userEntity, oAuth2User.getAttributes()); } }핸들러로 넘어와 토큰을 생성하고 응답 헤더에 추가시켰습니다.JwtProcess나 JwtVO는 선생님 코드랑 똑같이 만들었습니다.@Component public class Oauth2SuccessHandler extends SimpleUrlAuthenticationSuccessHandler { @Override public void onAuthenticationSuccess(HttpServletRequest request, HttpServletResponse response, Authentication authentication) throws IOException, ServletException { DefaultOauth2User oAuth2User = (DefaultOauth2User) authentication.getPrincipal(); String jwtToken = JwtProcess.create(oAuth2User); response.addHeader(JwtVO.HEADER, jwtToken); getRedirectStrategy().sendRedirect(request, response, "/"); } }시큐리티 설정파일입니다.cors설정인 configurationSource도 선생님과 같습니다.@Configuration @EnableWebSecurity @RequiredArgsConstructor public class SecurityConfig { private final CustomOauth2UserService userService; private final Oauth2SuccessHandler successHandler; @Bean SecurityFilterChain filterChain(HttpSecurity http) throws Exception{ http.headers().frameOptions().disable(); http.csrf().disable(); http.httpBasic().disable(); http.cors().configurationSource(configurationSource()); http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS); http.authorizeRequests() .antMatchers("/user/**").authenticated() .antMatchers("/admin/**").hasRole("ADMIN") .anyRequest().permitAll() .and() .oauth2Login() .loginPage("/loginForm") .successHandler(successHandler) .userInfoEndpoint().userService(userService); return http.build(); } 구글 로그인 시 /로 리다이렉트는 정상적으로 됩니다.그런데 크롬 개발자 도구를 보면 response 헤더에는 jwt토큰이 있는데요청 헤더에는 jwt토큰이 없습니다... 프론트 쪽은 html 파일들만 생성했는데 혹시 자바스크립트로 뭔가 해줘야 하나요?검색 결과들 참고해서 만들었는데 혹시 oauth2와 jwt를 합치는 방향 자체가 틀렸을까요? 아니면 구글에서 받은 access토큰이 jwt인가요?
- 미해결스프링부트 JUnit 테스트 - 시큐리티를 활용한 Bank 애플리케이션
JPQL 동적쿼리 부분 - > QUERYDSL 마이그레이션 후 질문
querydsl설정은 각종 블로그 보고 설정 적용을 한상태입니다. 일단 엔티티 구조가Transaction 엔티티에서Accout 엔티티를 @MantToOne 다대일 단방향 매핑중이고,입출금 내역 조회부분에서 jpql 부분을 그대로 챗 gpt 에 querydsl 기준 동적쿼리 코드를 돌려보면이런 코드를 알려줍니다 우선 여기서 질문이WithdrawAccount, DepositAccount라는 클래스는 없고 Account를 참조 하는데 QWithdrawAccount, QDepositAccount Q클래스가 필요한 이유를 모르겠습니다.저 코드를 해당 코드와 같이 바꿨습니다 그리고 테스트 코드를 돌려보면 transaction.withdrawAccount is not a root path 라는 에러가 나는데root path 관련 질문글 찾아보면" 이를 해결하려면 from 절에서 해당 객체를 다시 선언해주면 됩니다. 즉, querydsl에서는 join을 할 때 alias를 줘서 해당 객체를 다시 선언해주는 방식으로 작성해야 해결할 수 있습니다. "이런 답변이있는데변경 된 코드에서 innerjoin의 오른쪽 파라미터에 별칭을 잘못 줘서 에러가 나는거 같긴 한데QTransaction.transaction.withdrawaccount 와 같은 별칭을 부여하면 안되는 걸까요,,?
- 미해결스프링부트 JUnit 테스트 - 시큐리티를 활용한 Bank 애플리케이션
username으로 select를 왜하는지 잘모르겠습니다...
하이버네이트가 로그인한 user의 username으로 조회하는 쿼리를 발생시키는데 어떤 이유로 이게 발생되는지 잘모르겠습니다,,,!!! 컨트롤러 들어가기 전부터 조회가 되던데 어떠한 이유로 쿼리가 발생하는지 너무 궁금해서 질문글을 작성하게 되었습니다 ㅠㅠㅠ!!!
- 미해결스프링부트 JUnit 테스트 - 시큐리티를 활용한 Bank 애플리케이션
로그아웃은 Redis를 사용해야하는 건가요?
로그인시 Redis에도 정보를 담아서 로그아웃시에 제거 하는 방식으로 가야 하려나요?
- 해결됨스프링부트 JUnit 테스트 - 시큐리티를 활용한 Bank 애플리케이션
vs code setting에서 gradle
안녕하세요 강사님!질문 올립니다.vs code 세팅 중 3번째 gradle 설치에서 gradle for java를 설치한 뒤에 아래와 같은 문구가 뜹니다.구글링 해보니 이전에 했던 스프링 프로젝트의 gradle 버전과 겹쳐서 발생하는 에러라고 하더라고요.C:\Users\사용자\.gradle\caches에 들어가서 캐시를 전부 삭제했습니다.그런데 위 그림이 계속 떠요.다른 extensions이나 이전 스프링 프로젝트 데이터를 전부 지우고, 구글에 나온 방법은 거의 다 해봤는데 며칠동안 해결을 못했습니다. cache.propertiesgradle.version=8.2.1 build.gradleplugins { id 'java' id 'org.springframework.boot' version '2.7.14' id 'io.spring.dependency-management' version '1.0.15.RELEASE' } group = 'shop.metacoding' version = '0.0.1-SNAPSHOT' java { sourceCompatibility = '11' } configurations { compileOnly { extendsFrom annotationProcessor } } repositories { mavenCentral() } dependencies { implementation 'org.springframework.boot:spring-boot-starter-web' compileOnly 'org.projectlombok:lombok' developmentOnly 'org.springframework.boot:spring-boot-devtools' annotationProcessor 'org.projectlombok:lombok' testImplementation 'org.springframework.boot:spring-boot-starter-test' } tasks.named('test') { useJUnitPlatform() } gradle-wrapper.propertiesdistributionBase=GRADLE_USER_HOME distributionPath=wrapper/dists distributionUrl=https\://services.gradle.org/distributions/gradle-8.2.1-bin.zip networkTimeout=10000 validateDistributionUrl=true zipStoreBase=GRADLE_USER_HOME zipStorePath=wrapper/dists 살려주십셔
- 미해결스프링부트 JUnit 테스트 - 시큐리티를 활용한 Bank 애플리케이션
스프링 시큐리티 관해서 좀더 찾아봤는데 이과정들이 강의에선 언급이 안되었지만
HTTP요청이 들어오면 Servlet 컨테이너에서 요청을 받는다.Servlet 컨테이너 내의 필터들이 동작하는 중간에 DelegatingFilterProxy Filter가 요청을 받으면 springSecurityFilterChain 이름으로 생성된 빈을 AnnotationConfigServletWebServerApplicationContext 객체에서 찾는다.이 찾은 Filter Bean이 바로 FilterChainProxy다.그 후에 FilterChainProxy Bean에 요청을 전달한다. 이제 FilterChainProxy에서 필터들을 이용하여 보안처리를 진행한 후 최종적으로 SpringMVC의 DeispatcherServlet에 전달하여 요청에 대한 Servlet 처리를 하게 된다. ==유저가 서버에 요청을 보낸다.요청이 DelegatingFilterProxy 필터를 만나고 FilterChainProxy에 위임되어 등록되어 있는 SecurityFilterChain들의 조건과 매칭한다. 이번 예제에서는 어떤 요청이든 인증을 받도록 했다.매칭되는 SecurityFilterChain이 있는 경우 해당 필터 체인으로 흐름이 이어진다.필터 체인을 돌면서 여러 처리를 하고 AuthenticationFilter를 만나 인증을 수행한다.AuthenticationFilter에서는 AuthenticationToken을 만들고 AuthenticationManager에게 인증 여부를 요청한다.AuthenticationManager는 내부의 AuthenticationProvider들 중 처리할 수 있는 AuthenticationProvider에게 인증 여부를 요청한다.AuthenticationProvider는 UserDetailsService를 통하여 유저 정보를 가져온다.위에 과정들이 이루어지고 있긴 한거죠? 강의에선 언급이 안되었지만,,, 깊게 파고들수록 어렵네요
- 미해결스프링부트 JUnit 테스트 - 시큐리티를 활용한 Bank 애플리케이션
회원가입 컨트롤러 만들기 - User.java의 role
@Enumerated(EnumType.STRING)@Column(nullable = false)public UserEnum role; //ADMIN,CUSTOMERUser.java의 role이 위외 같이 nullable=false로 되어있다보니 에러가 뜨는것 같습니다.UserController의 UserRespDto userRespDto = userService.signIn(userReqDto);를 실행했을때UserService의 34번 라인에서 아래와 같이 에러가 뜨네요강사님 코드랑 조금 다른 부분이 있긴합니다. dto에 빌더패턴을 사용중이긴 한데... 음 이거때문에 에러를 뱉는건 아닌거 같긴 합니다.물론, User.java에서 아래와 같이 코드를 수정해주면 문제없이 잘됩니다.@Enumerated(EnumType.STRING)@Columnpublic UserEnum role; //ADMIN,CUSTOMER저만 안되는 부분인지.. 아니면 (nullable = false)를 빼고하는게 맞는건지 궁금해서 질문드려요!감사합니다.
- 미해결스프링부트 JUnit 테스트 - 시큐리티를 활용한 Bank 애플리케이션
인가 처리 로직에 대한 문의
안녕하세요 JWT 를 사용하여 Security 를 통해 애플리케이션을 ㄱ구축해봤었는데, 그 당시에는 JWT Token 을 강사님이 사용해주신 부분과 다르게 사용하였는데 문의 사항이 생겨서요!궁금한 부분은 verify() 를 하는 부분입니다. JwtToken 에는 ID 정보만을 넣었습니다. 그걸 통해서 verify 이후에 AuthorizationFilter 에서 직접 Member 를 DB 에 저장되어 있는지 확인하여 가져온 이후 LoginUser 정보를 만들어 SecurityContext 에 저장하였습니다. 강사님의 코드는 TOKEN 정보가 있는지, TOKEN 정보가 있으면 거기서 ID 와 ROLE 정보를 가져올 수 있는지만을 확인하고 있습니다. 이렇게 하면 TC 에서 확실히 간단해지는 면모도 있고, 사실 JWT 토큰 자체도 그렇게 의존할만한게 아닌 것으로 알기 때문에 의존성을 줄일 수도 있는 것 같고, 스프링 단에서도 어떤 방식으로 지속적인 구현을 하면 (가령, SecurityContext 에 저장된 사람의 정보가 필요할 때 비로소 id 를 가지고 와서 확인하는 등) 괜찮을 것 같다고 생각이 들었습니다.보통 실무에서는 어떤 방식으로 하는지 궁금합니다!
- 미해결스프링부트 JUnit 테스트 - 시큐리티를 활용한 Bank 애플리케이션
Service 단 Test Code 작성 요령
안녕하세요~ 예전에 TC 를 작성하면서 발생한 궁금점들이 이번 강의를 통해서 다시 한번 생기게 되어서 질문 올리게 되었습니다!!UserSerivce 를 Test 하기 위해 UserRepository 모킹주입을 하였습니다. 이 때, stub 을 사용하여 모킹 객체의 동작을 정의해주는데, 제가 예전에 이렇게 했을 때 (강의 예제와 같은) UserRepository 의 동작을 일괄적으로 관리하기 위해 @BeforeEach 를 사용하였습니다. |이렇게 했더니 실제로 많은 일을 수행하는 Repository 에 들어가는 when 절이 정말 많아지고 BeforeEach 가 매우 길어져서(필요한 연관 객체들 User 와 연관된 A,B,C 등의 Entity 모두 그 때 그 때 생성해주는 코드까지 다 결합되어 있었음), 이게 과연 맞는가? 싶은 생각이 들었습니다. 해당 강의를 통해서 그냥 그렇게 하는게 맞았었나보네 싶은데 , 보통 그렇게 BeforeEach 혹은 각 TC 코드가 길어져도 이렇게 Test 하는게 관례적인 모습일까요?그간 물어볼 사람이 없어서 못 물어봤는데 이렇게 질문드릴 수 있게 되어서 다행입니다 ㅠ
- 미해결스프링부트 JUnit 테스트 - 시큐리티를 활용한 Bank 애플리케이션
완강 하였습니다. CI CD는
https://github.com/codingspecialist/JUNIT5-Security-Lecture 여기 나와있는 deploy.yml은 그대로 써도 되는걸까요?
- 미해결스프링부트 JUnit 테스트 - 시큐리티를 활용한 Bank 애플리케이션
Fetch join 테스트에서
join을 사용하면 주체인 Transaction만 select 되고 account가 나중에 따로 조회되는 말도 안되는 쿼리도 n+1의 경우인걸까요??
- 미해결스프링부트 JUnit 테스트 - 시큐리티를 활용한 Bank 애플리케이션
security에서 비밀번호 검증을 자동으로 해주는 걸까요?
안녕하세요 security에서 username이랑 password를 db에서 자동으로 비교해주나요?만약 소셜 로그인만 존재하는 페이지는 비밀번호를 db에 저장하지 않는데, 이 경우엔 어떤 식으로 처리해야 할까요?소셜로그인에서 로그인 성공 시 username을 받아와서 다시 security로 api호출을 해 주는 방식으로 로그인 하려고 했는데, 비밀번호가 없으니 어떻게 해야할지 모르겠습니다,,!!
- 미해결스프링부트 JUnit 테스트 - 시큐리티를 활용한 Bank 애플리케이션
@AuthenticationPrincipal 사용이 가능한 이유가
처음에 로그인시 헤더에 jwt 토큰이 저장되고 securityContextholder, 시큐리티 세션에 저장된 loginUser가 stateless 설정에 의해 삭제 되지계좌등록 컨트롤러에 @AuthenticationPrincipal로 세션에 저장된 loginUser를 사용이 가능한 이유가 JwtAuthrizaitionFilte에서 아래 코드로 securityContextholder에 인증이나 권한체크용으로 저장 되기 떄문에 사용이 가능한걸까요? 맞는거같은데 확실해지고자 여쭤봅니다...Authentication authentication = new UsernamePasswordAuthenticationToken(loginUser, null, loginUser.getAuthorities()); //강제로 authentication 객체를 생성 SecurityContextHolder.getContext().setAuthentication(authentication); //강제 로그인
- 해결됨스프링부트 JUnit 테스트 - 시큐리티를 활용한 Bank 애플리케이션
cors 테스트 addExposedHeader("Authorization); 안해줘도 토큰 값이 받아집니다.
SecurityConfig에 아래 코드를 추가해야 configuration.addExposedHeader("Authorization");JwtToken 값을 받을 수 있다고 하셨는데요.해당 라인을 추가 안해도 JwtToken 값이 찍히고 로컬 스토리지와 세션 스토리지에 토큰값이 들어가지네요. 굳이 추가 안해도 되는건가요?
- 미해결스프링부트 JUnit 테스트 - 시큐리티를 활용한 Bank 애플리케이션
컨트롤러에서 api/admin 으로 왔을 때 처리하는 원리가 궁금해요
안녕하세요 초보 개발자 입니다. 강의 너무 잘 듣고 있어요! 궁금한 점이 있어서 질문 드립니다.security 필터를 다 거치고 Controller에서 주소가 api/admin이면 Authentication객체의 role이 ADMIN인지 확인 한다고 하셨는데, securityConfig의 antMatchers("/api/admin/**").hasRole("" + UserEnum.ADMIN) 이부분에서 설정 했다고 생각합니다. 궁금한 점이 꼭 Authentication객체에서 ADMIN을 가지고 있는 변수의 이름이 꼭 role이여야만 가능 한걸까요? security에서 api/admin이 나오면 Authentication객체 내부에서 role이란 이름을 가진 변수를 찾아보는 걸까요? 아니면 해당사항을 설정한 사항이 따로 있었을까요?답변 감사합니다!
- 미해결스프링부트 JUnit 테스트 - 시큐리티를 활용한 Bank 애플리케이션
사용자로 하여금 어떻게 JWT를 헤더에 포함하게 하나요?
jwt 부분을 다 듣고 아래 테스트 수업 듣는 중입니다.사용자 로그인 시에 우리가 jwt를 발급하고,사용자가 매 요청마다 이걸 가져오면 검증하는 건이해가 됐습니다.그러다 문득 궁금해진 게, 저희가 테스트할 때는포스트맨을 통해 헤더의 Authorization에 토큰을직접 넣어주었습니다. 하지만 실제 어플리케이션에선사용자가 직접 이 작업을 하지는 않죠.그렇다면 사용자 요청 헤더의 Authorization에 토큰을포함해야 하는 건 서버 측에서 해야할 일 같은데이에 대한 강의는 없는 것 같습니다. 혹시 자세하게는아니라도 대충 어떠하게 흘러가는 지 알려주실 수있을까요??
- 미해결스프링부트 JUnit 테스트 - 시큐리티를 활용한 Bank 애플리케이션
로그인 인증 실패 시 예외처리하는 주체는 어느 것인가요?
기존에는 SecurityConfig 클래스의SecurityFilterChain에서 아래의 코드가로그인 실패 시 응답을 처리하는 주체였습니다. http.exceptionHandling() // 인증 예외 설정 .authenticationEntryPoint((request, response, authenticationException)->{ // 예외 가로채기\ CustomResponseUtil.fail(response, "로그인을 진행해주세요", HttpStatus.UNAUTHORIZED); });그러다 JwtAuthenticationFilter를 만들면서attemptAuthentication() 매서드가 실패 시 아래의unsuccessfulAuthentication()가 실행되게끔 했구요.@Override protected void unsuccessfulAuthentication(HttpServletRequest request, HttpServletResponse response, AuthenticationException failed) throws IOException, ServletException { CustomResponseUtil.fail(response, "로그인 실패", HttpStatus.UNAUTHORIZED); } 그래서 헷갈려서 실험해보니 기존의 SecurityFilterChain의 것은 주석처리해도 아무런상관이 없고, unsuccessfulAuthentication()가 동작하더라구요.이 두 코드의 차이는 정확히 어떤 것일까요?