[JDBC] Auth(인증 및 허가) 로그인 구현

🔻인증과 허가

인증, Authentication

• 현재 접속자가 해당 사이트의 구성원인지 확인하는 작업
• 로그인(Sign in), 로그아웃(Sign out)
• 해당 접속자가 구성원인지 아이디와 암호로 확인하는 작업을 통과하면 인증 티켓을 발급한다.
• 인증 티켓으로 사이트 내에서 자유롭게 이동이 가능하고 인증 받은 사람이라는 것을 증명 가능하다.

허가, Authorization

• 특정 행동을 할 때 권한이 있는지 확인하는 작업

 

웹 보안은 인증과 허가를 합쳐서 관리한다.

인증을 확인하는 방법에는 세션 기반 인증 방법과 쿠키 기반 인증 방법이 있다.

---

🔻인증 업무 구현(로그인 및 권한 있는 페이지 만들기)

• 세션 기반 인증 방법으로 구현한다.
• 프로젝트 명 : AuthTest

폴더 경로	파일명	파일 역할
AuthTest	script.sql	sql 구문을 작성하는 파일
WEB-INF > lib	ojdbc6.jar
webapp	index.jsp	시작 페이지
webapp > auth	login .jsp	로그인 폼 페이지
webapp > auth	loginok.jsp	로그인 처리 페이지(+ 인증 작업)
webapp > auth	logoutok.jps	로그아웃 처리 페이지
webapp > member	member.jsp	회원 전용 페이지(+허가 작업)
webapp  > admin	admin.jsp	관리자 전용 페이지(+허가 작업)
com.test.auth	DBUtil.java	DBUtil.java

 

 

 

---

sql 구문 작성

sql구문을 sql 툴로 미리 작성하면 나중에 JSP에서 sql구문 조작하기 편하다.

 script.sql

-- AuthTest > script.sql

select * from tblUser;

create table tblUser (
    id varchar2(30) primary key,    -- 아이디(PK)
    pw varchar2(30) not null,       -- 암호
    name varchar2(30) not null,      -- 이름
    lv number(1) not null           -- 등급(1-일반, 2-관리자)
);

insert into tblUser values ('hong', '1111', '홍길동', 1);
insert into tblUser values ('test', '1111', '테스트', 1);
insert into tblUser values ('admin', '1111', '관리자', 2);

select * from tblUser where id = 'hong' and pw = '1111';

commit;

sql구문을 sql 툴로 미리 작성하면 나중에 JSP에서 sql구문 조작하기 편하다.

 

 

시작페이지

index.jsp

<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>
<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<title>인증/허가</title>
<link rel="stylesheet" href="http://pinnpublic.dothome.co.kr/cdn/example-min.css">
</head>
<body>

	<h1>인증/허가</h1>
	
	<% if(session.getAttribute("auth") == null) {%>
	<fieldset>
		<input type="button" value="로그인" onclick = "location.href='auth/login.jsp';">
	</fieldset>
	<% } else { %>
	<fieldset>
		<input type="button" value="로그아웃" onclick = "location.href='auth/logoutok.jsp';">
		<div class="message">
			<div>아이디: <%= session.getAttribute("auth") %> </div>
			<div>이름: <%= session.getAttribute("name") %> </div>
			<div>등급: <%=session.getAttribute("lv").toString().equals("1")?"일반회원":"관리자" %></div>
		</div>
	</fieldset>
	<% } %>
	
	<hr>
	
	<!-- 회원 전용 페이지  -->
	<!-- 노출 유무 방법 1 : 디스플레이 노출 유무를 -->
	<% if(session.getAttribute("auth") != null) { %>
	<div><a href="member/member.jsp">회원 페이지</a></div>
	<% } %>
	 
	<%-- 
	<!-- 노출 유무 방법 2 : 기능 차이를 둔다.-->
	<% if(session.getAttribute("auth") != null) { %>
	<div><a href="member/member.jsp">회원 페이지</a></div>
	<% } else { %>
	<!-- 회원이 아닌 사람 -->
	<!-- #!로 공수표를 만든다 -->
	<a href="#!" onclick = "alert('로그인한 회원만 접근가능합니다.');">회원 페이지</a>
	<%} %>
	--%>
	
	<!-- 관리자 전용 페이지 -->
	<% if (session.getAttribute("auth") != null && session.getAttribute("lv").toString().equals("2")) { %>
	<div><a href="admin/admin.jsp">관리자 페이지</a></div>
	<% } %>
	

	<script src="https://code.jquery.com/jquery-1.12.4.js"></script>
	<script src="http://pinnpublic.dothome.co.kr/cdn/example-min.js"></script>
</body>
</html>

세션 객체의 auth 속성을 활용하여 사용자의 로그인 상태를 파악할 수 있다.

만약 auth 속성이 null이라면, 사용자는 로그인하지 않았다는 것을 의미하며 이때 로그인 버튼이 화면에 출력된다.
반면, auth 속성이 null이 아닌 경우, 사용자는 로그인을 한 상태이다. 이때는 로그아웃 버튼과 로그인한 사용자의 정보가 화면에 표시된다.

또한, 회원 및 관리자 페이지에 접근 권한을 부여하기 위해 auth 속성을 활용한다. 사용자가 로그인한 경우에만 해당 페이지로의 접근이 허용되며, 그렇지 않은 경우에는 접근할 수 없다.
이러한 접근 제어를 구현하는 방법에는 두 가지 방식이 있다.

첫 번째 방법은 로그인한 경우에만 회원 페이지로의 접근을 허용하는 버튼을 제공하는 것이다. 두 번째 방법은 로그인 전후 버튼이 보여지지만 로그인 전 버튼을 눌렀을 때, 이동하지않고 안내메시지만 띄어주는 이른바 공수표를 띄우는 것이다. a태그 링크에 "#!"를 넣으면 공수표가 된다.

 

 

로그인 폼 페이지

login.jsp

<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>
<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<title>로그인</title>
<link rel="stylesheet" href="http://pinnpublic.dothome.co.kr/cdn/example-min.css">
</head>
<body>

	<h1>로그인</h1>

	<form method="POST" action="loginok.jsp">
	<table class="vertical">
		<tr>
			<th>아이디</th>
			<td><input type="text" name="id" required></td>
		</tr>
		<tr>
			<th>암호</th>
			<td><input type="password" name="pw" required></td>
		</tr>
	</table>
	<div>
		<input type="submit" value="로그인">
	</div>
	</form>

	<script src="https://code.jquery.com/jquery-1.12.4.js"></script>
	<script src="http://pinnpublic.dothome.co.kr/cdn/example-min.js"></script>
	
</body>
</html>

 

 

로그인 처리 페이지

loginok.jsp

<%@page import="com.test.auth.DBUtil"%>
<%@page import="java.sql.*"%>
<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>
<%
	//1.
	String id = request.getParameter("id");
	String pw = request.getParameter("pw");
	
	//2.
	Connection conn = null;
	PreparedStatement stat = null;
	ResultSet rs = null;
	
	try {
		
		conn = DBUtil.open();
		
		String sql = "select * from tblUser where id = ? and pw = ?";
		
		stat = conn.prepareStatement(sql);
		stat.setString(1, id);
		stat.setString(2, pw);
		
		rs = stat.executeQuery();
		
		if (rs.next()) {
			//해당 구문에서 로그인 처리를 끝낸다. 다른 곳에서 작성하지 않는다.
			
			session.setAttribute("auth", id);	// 인증 티켓 역할
			session.setAttribute("name", rs.getString("name"));
			session.setAttribute("lv", rs.getString("lv"));
			response.sendRedirect("../index.jsp");
			
		} else {
			System.out.println("로그인 실패");
			response.sendRedirect("login.jsp");
		}
		
		rs.close();
		stat.close();
		conn.close();
	} catch (Exception e) {
		e.printStackTrace();
	}
%>
<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<title>Insert title here</title>
<link rel="stylesheet" href="http://pinnpublic.dothome.co.kr/cdn/example-min.css">
</head>
<body>
	<script src="https://code.jquery.com/jquery-1.12.4.js"></script>
	<script src="http://pinnpublic.dothome.co.kr/cdn/example-min.js"></script>
</body>
</html>

로그인 처리페이지에서는 총 4가지의 업무를 처리한다.

1. login.jsp에서 넘어온 id,pw 데이터를 수신한다.

2. DB에 해당 id,pw 가 있는 회원을 조회한다.(select)

3. 존재하면 인증 티켓을 발급하고 존재하지않으면 아무일이 발생하지 않는다.

4. 사용자에게 피드백을 한다.

 

session.setAttribute("auth", id);

3번의 인증 티켓 역할은 session에 auth 속성을 지정하는 것이다.

DB결과 반환 후 회원이 존재한다면 session에 auth 속성을 id로 저장하여 인증 티켓을 발급한다. 로그인을 성공했다는 표시로 회원이 다른 페이지를 접속했을 때, session의 auth 속성을 확인하면 그 페이지에 권한이 있다는 것을 증명하는 인증 티켓이 되는 것이다.

단, 세션은 서버 메모리를 차지하기 때문에 필요한 정보만 session 객체에 넣어야한다.

 

 

로그아웃 처리 페이지

logout.jsp

<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>
<%
	session.removeAttribute("auth");	//로그아웃
	
	response.sendRedirect("../index.jsp");
%>
<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<title>Insert title here</title>
<link rel="stylesheet" href="http://pinnpublic.dothome.co.kr/cdn/example-min.css">
</head>
<body>
	<script src="https://code.jquery.com/jquery-1.12.4.js"></script>
	<script src="http://pinnpublic.dothome.co.kr/cdn/example-min.js"></script>
</body>
</html>

로그아웃 처리페이지에서는 2가지 업무를 처리한다.

1. 로그아웃 처리

2. 피드백

session.removeAttribute("auth");

session의 auth 속성을 지우면 로그아웃 처리가 되는 것이다.

로그인은 인증 티켓을 소유하고 있는 상태이고 로그아웃은 인증 티켓을 소유하기 전인 상태이므로 인증 전 상태로 되돌린다.

 

 

회원 페이지

member.jsp

<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>
<%
	if (session.getAttribute("auth") == null) {
		//response.sendRedirect("../index.jsp");	// 바로 내쫓는건 불친절해보임
		
		out.println("<html>");
		out.println("<head>");
		out.println("<meta charset='UTF-8'>");
		out.println("</head>");
		out.println("<body>");
		out.println("<script>");
		out.println("alert('회원만 접근 가능합니다.');");
		out.println("location.href='../index.jsp';");
		out.println("</script>");
		out.println("</body>");
		out.println("</html>");
		out.close();	// 아래의 코드를 진행하지 않고 여기서 중단한다.
	}
%>    
    
<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<title>Insert title here</title>
<link rel="stylesheet" href="http://pinnpublic.dothome.co.kr/cdn/example-min.css">
</head>
<body>
	<h1>회원 전용 페이지</h1>

	<p>이 페이지는 회원만 접근 가능합니다.</p>
	<script src="https://code.jquery.com/jquery-1.12.4.js"></script>
	<script src="http://pinnpublic.dothome.co.kr/cdn/example-min.js"></script>
</body>
</html>

인증받지 못한 사용자가 직접 접근하면 페이지가 보이지않게 해야한다.

보이지않게 하는건 여러 방법이 있지만 바로 시작페이지로 이동시키는건 불친절해보이기때문에 안내메시지를 출력한다.

아래 body영역은 회원만 보는 페이지이기에 인증 검증을 할 때는 보통 스크립트릿 영역안에서 작성한다.

 

 

관리자 페이지

admin.jsp

<%@ page language="java" contentType="text/html; charset=UTF-8"
    pageEncoding="UTF-8"%>
<%
	if (session.getAttribute("auth") == null || session.getAttribute("lv").toString().equals("1")) {
		
		out.println("<html>");
		out.println("<head>");
		out.println("<meta charset='UTF-8'>");
		out.println("</head>");
		out.println("<body>");
		out.println("<script>");
		out.println("alert('관리자만 접근 가능합니다.');");
		out.println("location.href='../index.jsp';");
		out.println("</script>");
		out.println("</body>");
		out.println("</html>");
		out.close();	// 아래의 코드를 진행하지 않고 여기서 중단한다.
	}
	
%>    
<!DOCTYPE html>
<html>
<head>
<meta charset="UTF-8">
<title>Insert title here</title>
<link rel="stylesheet" href="http://pinnpublic.dothome.co.kr/cdn/example-min.css">
<style>

</style>
</head>
<body>
	<h1>관리자 페이지</h1>

	<p>이 페이지는 관리자만 접근 가능합니다.</p>
	<script src="https://code.jquery.com/jquery-1.12.4.js"></script>
	<script src="http://pinnpublic.dothome.co.kr/cdn/example-min.js"></script>
</body>
</html>

관리자 페이지도 회원 페이지와 같이 전용페이지를 직접 접근했을 때 인증 단계를 거쳐 페이지를 출력한다.