지금까지 우리는 커스텀 로그인 페이지나 비밀번호 변경 기능, 그리고 Remember-Me와 같은 사용자 친화적인 기능들을 살펴보았다. 이번에는 여기서 한 단계 더 나아가, 기존의 인 메모리 저장소 방식에서 탈피하여 데이터베이스를 기반으로 인증을 처리하는 방법을 알아본다.
1. 데이터베이스 인증 저장소 설정의 필요성
인 메모리 방식은 구현이 간편하지만, 서버를 재가동할 때마다 저장된 사용자 정보가 사라진다는 치명적인 단점이 있다. 실제 서비스 환경에서는 사용자가 등록한 정보를 영구적으로 보존해야 하므로, 관계형 데이터베이스(RDBMS)를 사용하는 것이 필수적이다. 여기서는 개발 테스트 용도로 적합한 HSQLDB를 활용하여 인 메모리 형태의 데이터베이스를 설정하고, 이를 통해 JDBC 호환성을 확보하는 과정을 다룬다.
2. 데이터베이스 기반 인증의 동작 원리
스프링 시큐리티에서 데이터베이스 인증이 이루어지는 과정은 체계적이다.
-
인증 관리 주체:
AuthenticationManager가 인증 처리를 위임하면, 구체적인 인증 로직은AuthenticationProvider가 담당한다. -
사용자 정보 조회: 이때 데이터베이스에서 사용자 정보를 조회하고 검증하기 위해
UserDetailsService인터페이스의 구현체를 사용한다. -
통신 메커니즘: JDBC를 사용하는 경우 스프링 시큐리티가 제공하는 기본 클래스를 활용하여 관계형 데이터베이스와 통신하게 된다.
3. JDBC 기반 사용자 관리 및 확장
스프링 시큐리티는 사용자의 생성, 수정, 삭제 및 비밀번호 변경과 같은 기본적인 사용자 관리 기능을 위해 JdbcUserDetailsManager와 같은 편리한 클래스를 제공한다.
-
표준 관리: 이 클래스는 내부적으로 SQL 명령을 실행하여 데이터베이스의 사용자 정보를 조작하며, 개발자는 복잡한 JDBC 코드를 직접 작성하지 않고도 표준적인 사용자 관리 기능을 수행할 수 있다.
-
커스텀 확장: 만약 기본 기능 이상의 세밀한 제어가 필요하다면, 관련 클래스를 확장하여 커스텀 서비스를 구현할 수 있다. 예를 들어 비밀번호 업데이트 로직을 특정 환경에 맞게 조정하거나, 레거시 데이터베이스 스키마에 맞춰 인증 쿼리를 수정하는 작업이 가능하다.
4. 그룹 기반 권한 부여 설정의 활용
사용자의 수가 많아지고 권한 체계가 복잡해지면, 개별 사용자마다 일일이 권한을 부여하는 방식은 관리가 매우 어려워진다. 이런 경우 그룹 기반 접근 제어(Group-Based Access Control) 모델을 적용하는 것이 효율적이다.
-
관리 간소화: 사용자를 특정 그룹에 할당하고 그 그룹에 권한을 정의함으로써 대규모 조직에서도 보안 설정을 일목요연하게 관리할 수 있다.
-
보안 모델의 유연성: 이는 마이크로소프트의 액티브 디렉터리(AD)와 같은 서비스에서 널리 사용되는 방식으로, 조직의 변경이나 직무 이동 시 권한 할당을 신속하게 처리할 수 있게 해준다.
데이터베이스를 이용한 크리덴셜 관리는 보안의 기초이자 핵심이다. JDBC를 통해 데이터베이스에 접근하고 사용자 정보를 안전하게 저장하며, 그룹 단위로 권한을 관리하는 기법을 익히는 것은 견고한 애플리케이션을 구축하는 첫걸음이 될 것이다. 이후에는 비밀번호 솔팅(Salting)이나 암호화 기술을 더해 보안성을 더욱 강화하는 방향으로 나아갈 수 있다.