[java] Apache Shiro의 보안 설정 관리

15 Nov 2023

java

Apache Shiro는 자바 기반의 오픈 소스 보안 프레임워크로, 애플리케이션에 보안 기능을 쉽게 통합할 수 있게 도와줍니다. Shiro는 다양한 인증 및 권한 부여 메커니즘을 제공하며, 보안 설정을 관리하기 위한 강력한 도구를 제공합니다. 이번 포스팅에서는 Apache Shiro를 사용하여 보안 설정을 관리하는 방법에 대해 알아보겠습니다.

1. 의존성 추가

먼저, Apache Shiro를 프로젝트에 추가해야 합니다. Maven 프로젝트인 경우, pom.xml 파일에 다음 의존성을 추가합니다.

<dependencies>
    <dependency>
        <groupId>org.apache.shiro</groupId>
        <artifactId>shiro-core</artifactId>
        <version>1.8.0</version>
    </dependency>
    <dependency>
        <groupId>org.apache.shiro</groupId>
        <artifactId>shiro-web</artifactId>
        <version>1.8.0</version>
    </dependency>
</dependencies>

Gradle을 사용하는 경우, build.gradle 파일에 다음 의존성을 추가합니다.

dependencies {
    implementation 'org.apache.shiro:shiro-core:1.8.0'
    implementation 'org.apache.shiro:shiro-web:1.8.0'
}

의존성을 추가한 후, 프로젝트를 빌드하고 Apache Shiro를 사용할 준비가 완료됩니다.

2. 보안 설정 파일 작성

Apache Shiro는 ini 파일 형식으로 보안 설정을 관리합니다. 보안 설정 파일은 사용자, 역할, 권한, 필터 등의 정보를 포함하며, 애플리케이션의 보안 정책을 정의합니다.

보안 설정 파일(shiro.ini)은 다음과 같이 작성할 수 있습니다.

[users]
username = password, role1, role2
admin = admin123, admin

[roles]
role1 = permission1, permission2
role2 = permission3, permission4

[urls]
/api/** = authc, roles[admin]

위의 설정 파일에서는 users 섹션에 사용자와 관련된 정보를 정의합니다. roles 섹션에는 역할과 해당 역할에 대한 권한을 정의합니다. urls 섹션은 URL 패턴과 해당 패턴에 접근하기 위해 필요한 인증 및 권한을 정의합니다.

3. 보안 설정 로드

보안 설정 파일을 작성한 후, 애플리케이션에서 이를 로드하여 보안 기능을 활성화해야 합니다. 일반적으로 애플리케이션의 시작 시점에 보안 설정을 로드하도록 구성합니다.

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.config.IniSecurityManagerFactory;
import org.apache.shiro.mgt.SecurityManager;

public class Application {

    public static void main(String[] args) {
        // 보안 설정 파일 로드
        IniSecurityManagerFactory factory = new IniSecurityManagerFactory("classpath:shiro.ini");
        SecurityManager securityManager = factory.createInstance();
        
        // SecurityUtils에 SecurityManager 설정
        SecurityUtils.setSecurityManager(securityManager);
        
        // 애플리케이션 로직 실행
        // ...
    }
}

보안 설정 파일을 로드하고, SecurityUtils에 SecurityManager 객체를 설정한 후에는 애플리케이션에서 SecurityUtils를 통해 인증, 권한 부여 등의 기능을 사용할 수 있습니다.

4. 보안 설정 활용

보안 설정을 로드하고 애플리케이션에 통합했다면, Apache Shiro의 다양한 기능을 사용하여 보안을 관리할 수 있습니다. 예를 들어, 다음과 같이 인증 및 권한 부여를 수행할 수 있습니다.

import org.apache.shiro.SecurityUtils;
import org.apache.shiro.subject.Subject;

public class UserController {

    public void updateUser(User user) {
        // 현재 사용자의 인증 여부 확인
        Subject currentUser = SecurityUtils.getSubject();
        if (currentUser.isAuthenticated()) {
            // 사용자의 역할 확인
            if (currentUser.hasRole("admin")) {
                // 사용자 역할에 따른 처리 로직
                // ...
            } else {
                // 역할 부족에 대한 처리 로직
                // ...
            }
        } else {
            // 인증되지 않은 사용자에 대한 처리 로직
            // ...
        }
    }
}

SecurityUtils의 getSubject() 메서드를 통해 현재 사용자의 인증 여부를 확인하고, hasRole() 메서드를 사용하여 역할을 확인할 수 있습니다. 이를 활용하여 사용자의 권한에 따라 다른 처리 로직을 수행할 수 있습니다.

결론

Apache Shiro는 자바 기반의 보안 프레임워크로, 쉽게 보안 기능을 통합할 수 있도록 도와줍니다. 이 포스팅에서는 Apache Shiro를 사용하여 보안 설정을 관리하는 방법에 대해 알아보았습니다. Apache Shiro를 활용하여 애플리케이션의 보안을 강화할 수 있으니, 관심 있는 개발자들은 한번 살펴보시기 바랍니다.

참고 문서: Apache Shiro - Configuration