Java Enum 사용하기

 자바에서 제공하는 Enum 타입은 C++에서의 enum이 정수형 상수의 역할을 하는 것과는 달리 거의 완전한 클래스로서 새로운 타입을 정의하는 것과 같다. 덕분에 C나 C++ 같은 언어에 익숙한 개발자들이 처음 Java의 Enum을 접하게되면 약간 당황스러움을 느끼게 된다.

 그래서 이번 포스팅에서는 Java의 Enum을 이해하기 쉽도록 일반적인 Enum의 사용 코드 샘플을 보여주고 간단하게 설명 해볼까 한다.

 그럼 먼저 가장 간단한 형태의 Enum의 선언을 보자.

public enum Order {
    FIRST, SECOND, THIRD;
}

 지극히 간단한 Enum 선언 예제이다. 이렇게 선언된 Enum 타입을 어떻게 사용하는지는 아래 샘플 코드를 보면 간단하게 이해할 수 있다.

Order order = Order.SECOND;
...
// switch문
switch (order) {
    case FIRST:
        System.out.println("First !");
        break;
    case SECOND:
        System.out.println("Second !");
        break;
    case THIRD:
        System.out.println("Third !");
        break;
    default:
        System.out.println("Ooops !");
        break;
}

// if문
if (order == Order.SECOND)
    System.out.println("Second !");

 switch나 if문의 조건문에서 상수처럼 사용하는 일반적인 형태의 예제이다. 아마도 예상과 크게 다르지 않을 것이다.

 Java의 Enum은 거의 클래스와 같기 때문에 기본적으로 구현되어 제공되는 몇 가지 메소드가 있다. 실제 사용하다보면 바로 필요하게 될 것이므로 아래 예제 코드에서 사용하는 메소드의 출력 결과를 자세히 보고 숙지해 놓는게 좋겠다.

Order order = Order.SECOND;

System.out.println(order.toString()); // "SECOND"
System.out.println(order.name()); // "SECOND"
System.out.println(order.ordinal()); // 1

if (order == Order.valueOf("SECOND")) // Order.valueOf("SECOND") = Order.SECOND
    System.out.println("Same !!!");

for (Order val : Order.values()) // [FIRST, SECOND, THIRD]
    System.out.println(val);

 간단히 설명을 하자면...

• toString()의 기본 구현은 해당 상수의 이름을 문자열로 반환한다.
• name()도 기본 구현은 해당 상수의 이름을 문자열로 반환한다.
• ordinal()은 해당 상수의 선언 순서에 따른 인덱스(Zero based)값을 반환한다.
• valueOf()는 인자로 받은 이름과 같은 Enum값을 반환한다.
• values()는 선언된 모든 Enum값을 순서대로 배열에 담아서 반환한다.

 Java의 다른 원시 타입과 함께 사용하다보면 종종 이런 메소드들이 필요하다. 하지만 매우 직관적이고 단순하므로 어려울 것은 없다. 다만 문제가 되는 것은 Enum의 기본 구현이 이런 메소드들을 제공한다는 사실을 잘 몰라서 헤메는 경우가 많으므로 반드시 숙지하기를 바란다. 이 메소드들은 overriding도 가능하므로 참고하도록 하자.

 기본적인 Enum 구현은 사실 문자열값과 함께 사용하기 편하지만 간혹 Enum의 값들이 내부적으로 정수값 같은 다른 값을 가지고 있기를 원하는 경우가 종종 있다. 이런 경우에 많이 사용하는 패턴의 샘플 코드를 보도록 하자.

public enum IntEnum {
    PENNY(1), NICKEL(5), DIME(10), QUARTER(25);

    private final int value;

    // Constructor
    IntEnum(int value) {
        this.value = value;
    }

    // Getter
    public int value() {
        return value;
    }

    public static IntEnum valueOf(Integer value) {
        if (value == null)
            throw new NullPointerException();

        if (value == 1)
            return PENNY;
        else if (value == 5)
            return NICKEL;
        else if (value == 10)
            return DIME;
        else if (value == 25)
            return QUARTER;

        throw new IllegalArgumentException();
    }
}

 처음 보여준 Order와 크게 다른 점은 내부적으로 int형 값을 가질 final 멤버 변수 'value'가 선언되어 있다는 것이다. 이렇게 final 멤버 변수를 하나 갖게 되면 Enum 상수를 정의할 때 그 값이 초기화가 되어야 하므로 반드시 생성자가 따로 추가되어야 하고 그 생성자는 반드시 private이어야 한다. 위 예제에서 PENNY, NICKEL 같은 Enum의 설계자가 정의한 값 말고 다른 값들이 외부에서 선언되어서는 안되므로 생성자는 당연히 private으로 선언되어야 할 것이다. 만약 public으로 선언을 하면 에러가 발생하므로 참고하길 바란다.

 멤버와 생성자가 추가되었으면 값을 선언할 때 인자로 정수값을 넘겨주어야 한다. 위 예제에서는 'PENNY(1)'과 같이 괄호와 정수 '1'을 값으로 넘겨서 선언하고 있음을 주목하자.

 이렇게 선언했다는 것은 당연히 다른 정수형 값들과 함께 사용하기 위함이므로 getter 메소드인 value()를 추가해주고 valueOf() 메소드를 overloading하여 문자열이 아닌 정수값으로 부터 Enum 값을 얻을 수 있도록 하였다. 반드시 필요한 건 아니지만 사용하다보면 금방 필요성을 느끼게 될 것이다.

 참고로 정수값을 보관하기 위한 'value'가 final로 선언된 이유는 실행중에 이 값이 바뀌어도 Enum값이 바뀌지는 않기 때문이다. 즉, 위 예에서 value의 final 키워드를 삭제하고 setter 메소드를 따로 추가한 후에 Runtime시에 PENNY의 value값을 10으로 바꿔줘도 PENNY는 여전히 PENNY일 뿐 DIME이 되지는 않는다. 아래 코드를 보면 이해가 쉬울 것이다.

IntEnum coin = IntEnum.PENNY;
coin.setValue(10); // coin = PENNY. not changed.
if (coin == IntEnum.DIME) // (false)
    System.out.println(coin); // not executed !!

 setValue(10)을 호출해도 PENNY인 coin 변수가 DIME으로 바뀌지는 않는다. 내부의 value값만 10으로 바뀔 뿐이다. 이렇게 value값이 바뀌게 되면 혼란만 초래할 뿐이므로 value는 final로 선언되는 게 맞으며 따라서 getter 메소드만 선언하면 되는 것이다. Java의 Enum이 거의 클래스와 같다고 하는 이유가 이런 멤버 변수와 메소드를 자유롭게 추가/변경할 수 있기 때문이지만 필요이상으로 남용하게되면 코드의 혼란만 야기할 뿐이다. 필자는 예제가 제시하는 수준의 사용이 적절하다고 생각한다. 그리고 위 예제에서는 int형을 예로 들었지만 다른 타입에 대해서 응용하는 건 이해만 제대로 하고 있다면 전혀 문제가 되진 않을 것이므로 따로 설명을 하진 않겠다.

 일반적인 상수의 사용보다 Enum을 사용하는 게 실제로 상당한 도움이 된다. Enum 사용이 익숙하지 않은 개발자들에게 간단한 샘플로서 많은 도움이 되기 바란다.

Read More

Spring Boot에 Security 적용하기

 이번 포스팅은 Spring Boot로 Web app을 개발할 때 Spring Security를 적용하는 방법에 대해서 정리해보려고 한다. 가능하면 가장 기본적인 설정만으로 구현할 것이고 Thymeleaf와의 연동에 대해서도 같이 정리할 것이다.

 일단 간단한 Web app이 개발된 상태라고 가정하는 게 Security에만 집중해서 설명할 수 있기 때문에 프로젝트를 생성한다던가 Spring Boot의 설정에 대해서는 건너 뛰도록 하겠다.

 가장 먼저 해야할 일은 Spring Security 모듈에대한 dependency를 설정하는 것이다. 아래 그림과 같이 build.gralde 파일을 열어서 2개의 모듈을 추가하도록 하자. (Maven은 pom.xml에 추가한다.)

 필자는 Thymeleaf를 이용해서 View를 렌더링할 것이기 때문에 thymeleaf-extras-springsecurity4를 추가했지만 Thymeleaf를 이용하지 않는다면 spring-boot-starter-security만 추가해도 상관없으므로 참고하기 바란다. 

 현재 사용되는 Spring 버전이 5.x이기 때문에 혹시 thymeleaf-extras-springsecurity5가 있는지 찾아봤으나 아직 없었다. 그래서 thymeleaf-extras-springsecurity4를 적용하였고 동작에는 아무런 문제가 없는 것으로 확인되었다. (현재는 thymeleaf-extras-springsecurity5가 릴리즈되었다. 따라서 이제는 4 대신 5를 사용해야 한다.)

 기존 프로젝트에 이렇게 모듈만 추가를 하고 실행을 해도 Security가 적용되어 어떤 URL에 접근을 해도 아래 그림과 같은 로그인 창이 뜨게된다. 등록된 사용자가 하나도 없으므로 당연히 로그인을 할 수 없고 페이지도 볼 수가 없다.

 이 기본 로그인 창은 Spring Security에서 제공하는 페이지인데 원한다면 사용할 수는 있지만 사실 별로 쓸모는 없다. 아마도 절대로 쓸 일은 없을 것이다.

 필요한 모듈을 추가했으니 이제 설정을 할 차례이다. 전에는 막연하게 이 부분이 복잡하다고 느꼈었지만 사실 설정 클래스를 하나 추가하면 된다. 그럼 Security 설정을 위한 설정 클래스를 추가하도록 하자. Spring에서 자동으로 scan을 할 수 있는 위치 아무 곳에나 아래와 같은 설정 클래스를 추가하도록 한다.

@Configuration
@EnableWebSecurity
public class WebSecurityConfig extends WebSecurityConfigurerAdapter {

    @Autowired
    private UserAuthenticationProvider authenticationProvider;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.authorizeRequests()
                .antMatchers("/css/**", "/js/**", "/img/**").permitAll()
                .antMatchers("/auth/admin/**").hasRole("ADMIN") // 내부적으로 접두어 "ROLE_"가 붙는다.
                .antMatchers("/auth/**").hasAnyRole("ADMIN", "USER") // 내부적으로 접두어 "ROLE_"가 붙는다.
                .anyRequest().authenticated();

        http.formLogin()
                .loginPage("/login") // default
                .loginProcessingUrl("/authenticate")
                .failureUrl("/login?error") // default
                .defaultSuccessUrl("/home")
                .usernameParameter("email")
                .passwordParameter("password")
                .permitAll();

        http.logout()
                .logoutUrl("/logout") // default
                .logoutSuccessUrl("/login")
                .permitAll();
    }

    @Override
    protected void configure(AuthenticationManagerBuilder auth) {
        auth.authenticationProvider(authenticationProvider);
    }
}

 위 설정 코드가 좀 복잡해 보일지도 모르지만 여기서는 샘플로서의 역할을 위해서 자주 사용될 만한 것들을 억지로 넣었기 때문에 그런 것이고 실제로는 더 간단할 수도 있고 더 복잡할 수도 있다. 일단 각 라인에 대한 설명을 해보도록 하겠다.

• 1~3 : WebSecurityConfigurerAdapter를 상속하는 클래스를 하나 만들고 Annotation들도 위와 같이 붙여준다. (클래스 이름은 원하는 대로)
• 6 : UserAuthenticationProvider는 커스텀 인증을 구현하는 클래스이다. AuthenticationProvider를 구현하는 클래스이며 자세한 사항은 아래에서 설명할 것이므로 일단 이렇게 Autowired로 주입되는 Component라는 사실만 이해하도록 하자.
• 9 : Spring Security의 설정을 구현하는 메소드이다. 필수 메소드이며 설정가능한 값들은 여기서 제시하는 것 말고도 더 많은 것들이 있으므로 필요한 경우 관련 문서를 참고하기 바란다.
• 10 ~14 : 인증이 필요하지 않은 경로와 인증이 필요한 경로를 설정한다. 여기서는 순서가 중요하다. 앞에서부터 검사해서 매칭이 일어나면 바로 규칙이 적용되어 그 뒤의 규칙은 무시되므로 우선순위를 고려하여 순서를 정해야 한다. 
• 11 : 정적 자원에 대해서는 인증 없이 접근이 가능하도록 완전히 허용하고 있다.
• 12 : "/auth/admin/**" 경로에 대해서는 "ROLE_ADMIN" 권한이 있어야 접근이 가능하도록 하고 있다.
• 13 : "/auth/**" 경로에 대해서 ROLE_ADMIN, ROLE_USER 중에 어느 하나라도 권한이 있어야 접근이 가능하도록 하고 있다. 12라인의 규칙도 여기에 해당하지만 먼저 선언되어있기 때문에 이 규칙이 우선 적용될 일은 없다.
• 14 : 기타 나머지 요청에 대해서는 인증된 사용자만 접근이 되도록 설정하고 있다.
• 16~23 : 로그인 폼에 관련된 설정을 하고 있다. 
• 17 : 로그인 UI를 제공하는 페이지의 경로를 설정한다. 여기서 지정된 경로가 Controller에 GET 요청으로 들어온다. 원하는 경로를 지정하면 된다.
• 18 : 인증을 처리하는 경로를 지정한다. 즉, 로그인 페이지의 form 태그에서 action 속성에 지정할 URL이다. 이 경로는 Controller로 들어오는 요청은 아니고 Spring Security에서 요청을 가로채서 인증 루틴을 실행해줄 것이다. 
• 19 : 인증 실패 시 돌아갈 경로를 설정한다. 위 예의 경우 "/login?error"가 원래 디폴트 값이기 때문에 사실 지정하지 않아도 된다. 
• 20 : 인증이 성공하면 원래 접근하려고 했던 경로로 돌아가는 게 기본 동작이지만 처음부터 로그인 페이지를 요청한 경우라면 돌아갈 경로가 없으므로 이 때는 여기서 지정된 URL로 이동하게 된다.
• 21 : 로그인 페이지에서 제공하는 username 파라메터의 이름이 무엇인지 지정한다. 여기서는 'email'이라는 이름의 파라메터를 사용하도록 지정하고 있다.
• 22 : 로그인 페이지에서 제공하는 password 파라메터의 이름이 무엇인지 지정한다.
• 23 : 로그인 페이지의 접근을 완전 허용하도록 설정한다.
• 25 ~ 28 : 로그아웃 관련된 설정을 하고 있다. 기본 로그아웃 URL은 "/logout" 이다.
• 26 : 로그아웃 경로를 지정한다. 위 예의 경우 "/logout"이 원래 디폴트 경로이기 때문에 사실 지정하지 않아도 된다.
• 27 : 로그아웃 후에 이동할 경로를 지정한다.
• 28 : 로그아웃 경로의 접근을 완전 허용하도록 설정한다.
• 32 ~ 34 : 커스텀 인증을 구현한 (6 라인에서 Autowired로 주입된) authenticationProvider를 AuthenticationManagerBuilder에 AuthenticationProvider로서 추가한다.(UserAuthenticationProvider의 설명은 아래 계속.) 가끔 어떤 샘플에서는 이 메소드를 구현하지 않고 9라인의 configure() 메소드 내에서 http.authenticationProvider()를 이용하여 AuthenticationProvider를 설정하기도 하는데 테스트 결과 authenticate() 메소드가 두 번 호출되는 오동작이 있었다. 참고하기 바란다.

 이제 위에서 설명되지 않은 AuthenticationProvider를 추가할 차례이다. 아래와 같이 클래스를 만들어서 Spring이 scan할 수 있는 곳에 추가해 주도록 하자.

@Component
public class UserAuthenticationProvider implements AuthenticationProvider {

    @Autowired
    UserService userService;

    @Override
    public Authentication authenticate(Authentication authentication) 
            throws AuthenticationException {
        String email = authentication.getName();
        String password = (String) authentication.getCredentials();

        UserVO userVO = userService.authenticate(email, password);
        if (userVO == null)
            throw new BadCredentialsException("Login Error !!");
        userVO.setPassword(null);

        ArrayList<SimpleGrantedAuthority> authorities = new ArrayList<>();
        authorities.add(new SimpleGrantedAuthority("ROLE_USER"));
        return new UsernamePasswordAuthenticationToken(userVO, null, authorities);
    }

    @Override
    public boolean supports(Class authentication) {
        return authentication.equals(UsernamePasswordAuthenticationToken.class);
    }
}

 그럼 간단하게 설명을 하도록 하겠다. 구체적인 인증 구현 방법은 상황에 따라서 알아서 구현하면 되고 이 예제에서는 인증의 성공, 실패시에 어떻게 처리하는지를 이해하는데 집중하도록 하자.

• 1 ~ 2 : AuthenticationProvider를 상속하는 클래스를 하나 만들어준다. Autowired로 주입할 것이므로 scan이 될 수 있도록 @Component Annotation을 붙여주어야 한다.
• 5 : 실질적으로 인증 로직을 구현하는 service 객체이다. 인증 로직은 각자 알아서 구현해야 하므로 따로 설명하지는 않겠다.
• 8 ~ 21 : Spring Security가 인증을 수행하기 위해서 호출을 해주는 메소드이다. 이 메소드로 넘겨지는 authentication 인자를 이용해서 사용자의 입력값을 얻고 인증을 수행한다. 인증이 성공적인 경우 Authentication 인터페이스를 구현한 객체를 반환하고 실패한 경우 예외를 발생시키면 된다. 여기서 제시하는 로직은 사실 매우 부실하다. 하지만 어떤 동작을 해야 하는 것인지만 이해하면 어떻게든 응용가능하므로 인증의 성공과 실패에 대한 동작이 무엇인지에 대해서 확실히 하고 넘어가길  바란다.
• 10 : 로그인 페이지에서 username 파라메터로 전송한 값을 얻어온다. 설정쪽 코드의 21라인에서 usernameParameter의 이름을 "email"로 설정했으므로 로그인 페이지에서 email 파라메터로 전송된 값이 여기서 얻어질 것이다.
• 11 : 로그인 페이지에서 password 파라메터로 전송한 값을 얻어온다.
• 13 : userService.authenticate()의 구체적인 코드는 여기서 따로 제공하지 않을 것이다. 여기에서는 userService.authenticate()가 인증을 수행한 후 인증이 성공적인 경우 등록된 사용자의 정보를 UserVO 객체에 담아서 반환한다고 가정하자. 인증이 실패한 경우에는 null을 반환한다고 가정한다.
• 14 ~ 15 : 인증 실패 시 AuthenticationException 예외를 발생시키면 된다. 여기서는 AuthenticationException를 상속하는 BadCredentialsException을 발생시켰다. AuthenticationException을 상속하는 Exception은 여러가지가 있으므로 적당한 다른 Exception이 있다면 그것을 사용하면 되고 직접 AuthenticationException을 상속하는 클래스를 만들어서 사용해도 된다.
• 16 : 반환된 UserVO 객체를 함수 마지막에 반환할 Authentication 객체의 pincipal 파라메터로 전달할 계획이므로 password 같은 민감한 정보는 삭제해두자. 나중에 설명하겠지만 이 객체는 다른 코드에서도 Security Context를 통해서 접근이 가능하기때문에 민감한 정보는 미리 삭제해 두는 것이다. 이 부분도 역시 예제일 뿐이므로 각자의 상황에 맞게 구현하면 된다.
• 18 ~ 19 : 사용자 권한(authority) 정보를 만들어서 설정한다. 실제로는 DB 등의 여러가지 자원에서 가져와서 권한 정보를 만들어야 겠지만 여기서는 설정하는 방법을 보여주는 게 목적이므로 "ROLE_USER"라는 String을 직접 사용해서 설정하고 있다. 
• 20 : Authentication 인터페이스를 구현한 UsernamePasswordAuthenticationToken 클래스를 생성해서 반환한다. 이 클래스는 Spring Security에서 제공되는 클래스인데 대부분의 경우에 사용하기 적당하다. UsernamePasswordAuthenticationToken을 생성할 때 첫 번째 인자(principal)로 userVO를 직접 설정했다.(16 라인에서 password 정보를 삭제한 이유가 여기서 파라메터로 전달하하면 다른 코드에서 접근이 가능하기 때문이다.) 흔히 principal 파라메터에 사용자 이름을 지정하는데 문자열 말고도 원하는 객체를 지정할 수 있으므로 참고하도록 하자. 두 번째 인자(credential)도 역시 인증이 완료된 후에는 지정하지 않는 게 보안상 안전하므로 null로 지정한다. 세 번째 인자는 18~19라인에서 생성한 authority list를 넘겨주면 된다.
• 24 ~ 26 : 이 AuthenticationProvider가 지원하는 클래스를 판단하는 메소드이다. boilerplate 같은 코드이다. 그대로 사용하면 된다.

 Spring Security 설정과 인증 로직을 구현해 넣었으므로 이제 "/login" 요청을 처리할 수 있게 Controller에 Request Mapping을 하나 추가하도록 하자. 물론 기존에 이미 login 페이지를 가지고 있어서 Controller에 Request Mapping이 되어있었다면 그 경로를 Security 설정 코드에서 사용하면 된다.

@Controller
public class UserController {
    ...
    @GetMapping("/login")
    public String login(@ModelAttribute("loginForm") LoginForm loginForm, Model model) {
        return "login";
    }
    ...
}

 별로 특별할 건 없다. LoginForm 클래스 객체를 ModelAttribute로 사용하려고 한다는 것을 알 수 있다. LoginForm 클래스는 email, password를 property로 갖는 단순 DTO 객체이다.

 이제 접근이 허용되지 않은 경로를 요청하게되면 "/login"으로 리다이렉트 되어 여기로 요청이 들어오게 될 것이고 login.html (Thymeleaf 템플릿 파일)이 렌더링되어 보이게 될 것이다.

 그러면 간단하게 로그인 폼이 어떻게 생겼는지 보도록 하자. Thymeleaf 기준으로 대충 아래와 같은 코드면 된다. 실제로는 화려한 UI를 위해 더 복잡한 코드가 필요하겠지만 여기서는 이해하기 쉽도록 최대한 단순한 코드를 사용하겠다.

...
<form action="#" th:action="@{/authenticate}" method="post" th:object="${loginForm}">
  <div>
    Email: <input type="email" th:field="*{email}" autofocus />
  </div>
  <div>
    Password: <input type="password" th:field="*{password}" />
  </div>
  <div>
    <input type="submit" value="Log in" />
  </div>
  <!--<input type="hidden" th:name="${_csrf.parameterName}" th:value="${_csrf.token}"/>-->
</form>
...

 매우 간단한 폼이므로 이해가 어려운 부분은 없을 것이다. 이번에도 라인별로 간단히 설명해 보겠다.

• 2 : form의 action 속성의 값(/authenticate)으로는 Security 설정할 때 login processing url의 값으로 지정했던 값(설정 코드의 18 라인)을 사용해야 한다. 여기서 한 가지 알아두어야 할 것은 반드시 th:action 속성을 사용하라는 것이다. th:action을 사용하면 Thymeleaf 엔진이 자동으로 CSRF를 위한 토큰값이 필요할 때 12번 라인의 주석과 같은 hidden 필드를 삽입해서 전송되도록 해준다. 만약에 th:action을 사용하지 않고 action 속성에 직접 "/authenticate"를 지정했다면 12라인의 주석을 해제해서 직접 hidden 필드를 넣어주어야 한다. 그리고 Thymeleaf에 익숙하다면 이미 알겠지만 Controller에서 ModelAttribute로 지정했던 "loginForm"이 th:object 속성에 지정되어야 하며 loginForm에는 email, password property가 있어야 한다.
• 4 : E-mail 주소를 입력받는 input 필드. 설정 코드 21 라인에서 username 파라메터의 이름을 'email'로 지정했었음을 기억할 것이다. 이 필드의 값이 인증 시 username 값으로 사용될 것이다. 
• 7 : Password를 입력받는 input 필드.
• 10 : form의 submit 버튼.
• 12 : 앞에서 설명한 것 처럼 form의 th:action 속성을 지정하면 Thymeleaf가 자동으로 전송해주기 때문에 현재는 주석처리가 되어있다. 만약 th:action을 사용하지 않는 경우라면 주석을 해제해서 직접 CSRF 토큰 전송을 위한 hidden 필드를 넣어주어야 한다. 이 경우 주석은 설명을 위해 남겨둔 것이며 당연히 없어도 된다. 기본적으로 Spring Security는 CSRF를 enable시킨 상태로 설정되어있다. CSRF가 enable 된 상태에서는 POST 요청을 할 때 위 예제처럼 hidden 필드를 넣어주어야 한다. CSRF를 disable 시켰다면 없어도 되지만 CSRF 공격에 대비하여 enable 시켜놓는게 안전하다. CSRF 공격이 무엇인지는 구글을 검색해 보도록 하자.

 위 예제에서 보여지는 것처럼 몇몇 필요한 값들과 설정만 있으면, 그리고 제대로 이해만 하고 있다면 로그인 창의 디자인은 얼마든지 자유롭게 해도 상관이 없다.

 이제 로그인을 성공해서 특정 페이지에 진입했을 때 페이지 내에서 (UserAuthenticationProvider.authenticate() 메소드가 반환했던) Authentication 객체에 접근하는 방법을 간단하게 보도록 하겠다. 아래 코드는 이 글 맨 처음에 언급한 대로 thymeleaf-extras-springsecurity4 모듈이 dependency에 추가되어 있어야 동작하므로 다시 한번 확인하길 바란다.

<html xmlns:th="http://www.thymeleaf.org" xmlns:sec="http://www.thymeleaf.org/extras/spring-security">
...
<div sec:authorize="isAuthenticated()">
  Name: <span sec:authentication="name">SomeName</span><br />
  Principal: <span sec:authentication="principal">PrincipalString</span><br />
  Principal.email: <span sec:authentication="principal.email">Email</span><br />
  HasRole(USER): <span sec:authorize="hasRole('ROLE_USER')">YES</span><br />
  HasRole(ADMIN): <span sec:authorize="hasRole('ROLE_ADMIN')">YES</span>
</div>
<form action="#" th:action="@{/logout}" method="post">
  <input type="submit" value="Logout" />
  <!--<input type="hidden" th:name="${_csrf.parameterName}" th:value="${_csrf.token}"/>-->
</form>
...

 위 예제는 간단하게 Thymeleaf 템플릿에서 Security 관련하여 할 수 있는 것들을 보여주기 위한 예제 소스이다. 로그인 후에 위 정보들이 어떻게 표시될 지에 대해서 간단하게 설명을 해보자.

 일단 예제에서 보여지는 Security 관련 attribute는 "sec:authorize"와 "sec:authentication" 두 가지가 있다.

• sec:authorize 속성은 th:if와 비슷한 역할을 한다. 값에 지정된 표현식을 평가하여 true인 경우에 해당 tag를 표시한다. 가능한 표현식은 위 예제에서 보듯이 매우 직관적으로 알 수 있을 것이다.
• sec:authentication 속성은 AuthenticationProvider가 인증을 수행하고 반환했던 Authentication 객체의 특정 property값을 th:text 속성에 지정하는 것과 같은 일을 한다. 이전 예제에서 보여준 AuthenticationProvider의 authenticate() 함수에서는 UsernamePasswordAuthenticationToken객체를 반환했었으며 이 객체의 principal 파라메터로 UserVO 객체를 직접 지정했었다. 위 코드는 이 값을 조회하는 코드의 예이다. 

 그럼 각 라인에 대한 설명을 간단히 해보자.

• 1 : spring security를 위한 thymeleaf 속성들의 namespace를 추가해주자. 
• 3 : isAuthenticated()는 인증이 되었으면 true, 아니면 false를 반환한다. 즉 인증이 안된 상태라면 <div> 태그는 렌더링되지 않고 사라질 것이다.
• 4 : Authentication 객체의 "name" property를 반환한다. 인증 함수가 반환했던 UsernamePasswordAuthenticationToken 클래스는 name property 값으로 생성자에 전달했던 principal 파라메터의 toString() 값을 반환하도록 구현되어있다. 따라서 우리는 이전 예제에서 UserVO 객체를 principal 파라메터로 지정했었으므로 그 객체의 toString() 값이 출력될 것이다. 자바 코드로 같은 값을 가져오려고 한다면 아래 코드를 참고하기 바란다.
  

  SecurityContextHolder.getContext().getAuthentication().getName()

• 5 : 여기서는 "principal"을 직접 지정했으므로 principal 파라메터로 지정한 UserVO 객체가 반환될 것이고 결국 그 객체의 toString() 값이 출력될 것이다. 결국 4번 라인과 같은 값이 출력될 것이다. 자바코드로는 아래와 같다.
  

  SecurityContextHolder.getContext().getAuthentication().getPrincipal()

• 6 : "principal.email"은 "principal"의 "email" property 값이 출력된다. 앞에서 얘기했듯이 principal 파라메터는 UserVO 객체이므로 UserVO객체의 email property가 출력될 것이다. 자바코드로는 아래와 같다.
  

  ((UserVO)SecurityContextHolder.getContext().getAuthentication().getPrincipal()).getEmail()

  만약에 우리가 지정한 principal 객체에 email property가 없으면 예외가 발생하여 에러 페이지가 출력된다. 
• 7 : hasRole('ROLE_USER') 는 authority 리스트에 'ROLE_USER'가 있는 경우에 true를 반환한다. 따라서 이 경우에는 'ROLE_USER' 권한이 있는 경우에만 span 태그가 표시되어 YES가 출력될 것이다. 
• 8 : 'ROLE_ADMIN' 권한을 체크할 뿐 7번 라인과 기능은 같다.
• 10 ~ 13 : 로그아웃 기능을 위한 <form> 예제이다. form의 action속성은 Security 설정코드에서 지정한 로그아웃용 경로를 사용해야 한다. 즉, 설정 코드 26라인에서 지정된 값이 여기서 action 값으로 사용되어야 한다. 여기서도 마찬가지로 CSRF가 enable 상태이면 logout도 post로 요청되어야 하며 form의 action값으로 th:action 속성을 이용해서 경로를 지정해야 한다. th:action을 사용하면 Thymeleaf 엔진에서 자동으로 12라인 주석과 같은 hidden 필드를 삽입해 줄 것이다. 만약 th:action을 사용하지 않았다면 12번 라인의 주석을 해제해서 직접 hidden 필드가 포함되도록 해야 한다. 종종 이 사실을 잊고 헤매는 경우가 있으므로 잊지말도록 하자. 

 위 예제가 모든 경우에 대한 예시를 제공하는 건 아니지만 위의 예제만 잘 이해하고 있으면 대부분의 경우를 커버할 수 있으므로 자세히 보고 익혀놓는 게 좋겠다.

 매번 Spring Security를 적용할 때 마다 꼭 블로그에 정리해 놓으리라 다짐만하고 실행하지 못했었는데 드디어 정리를 하게되서 매우 홀가분한 기분이다. 필요한 많은 사람들에게 도움이 되었으면 좋겠다.

Read More

Spring Boot Internationalization(다국어 지원)

 Spring Boot로 Web app을 개발할 때 다국어 지원을 어떻게 할 것인가에 대해서 대부분 한 번쯤은 고민을 해보았을 것이다. 그 때마다 항상 인터넷을 뒤져서 처리하곤 했는데 생각이 난 김에 필요할 때 참고하기 좋도록 여기에 정리해볼까 한다.

 Spring Boot의 가장 큰 장점은 대부분의 설정이 이미 되어있어서 별로 설정하지 않아도 웬만큼 쓸만하게 돌아간다는 것이다. MessageSource 설정도 역시 이미 되어있다. 기억해두어야 할 건 한 가지 뿐이다. 아래 그림과 같이 resources 폴더 아래에 messages.properties 파일이 MessageSource의 리소스 파일로 사용된다는 것이다. 그림은 IntelliJ 에서의 캡쳐 화면이다.

 확장자를 보면 알겠지만 포맷은 properties 파일 포맷(key=value)이다. 이 파일에 다국어 대상의 메시지들을 등록해 놓으면 JSP나 Thymeleaf 엔진에서 바로 사용이 된다.

 간단하게 Thymeleaf를 예로 들어보자. 아래 내용을 messages.properties 파일에 넣는다.

login.welcome-msg=Welcome!

messages.properties 파일의 내용이 위와 같다고 하면 Thymeleaf용 template 파일에서는 아래와 같이 사용이 가능하다.

  ...
  <div>
    <span th:text="#{login.welcome-msg}">Some Text</span>
  </div>
  ...

 위 파일에서 th:text 속성에 #{login.welcome-msg}를 지정함으로써 messages.properties 파일에 등록된 login.welcome-msg의 값이 span 태그의 텍스트 값(Some Text) 대신에 교체되어 html 파일이 생성되는 것이다. JSP에서의 사용법은 많이들 알고 있을 것이므로 따로 설명하지 않겠다.

 현재 상태에서는 messages.properties 파일 하나밖에 없기 때문에 모든 locale에 대해서 messages.properties 파일이 사용된다. 사실 messages.properties 파일은 locale을 판단할 수 없을 때 default로 사용되는 파일이고 원하는 locale에 대해서 messages_XX.properties 형태로 파일을 추가함으로써 해당 언어를 지원할 수 있다. 예를 들어 한국어를 지원하려면 messages_ko.properties 형태로 파일을 만들어서 resources 폴더 안에 넣어두기만 하면 된다. ko는 언어코드만 지정되었지만 구체적으로 국가 코드까지 포함된 ko-KR을 지정하고 싶다면 messages_ko_KR.properties 형태로 파일을 만들면 된다.

 messages_ko.properties 파일을 추가해주면 IntelliJ에서는 관리하기 편리하도록 아래 그림과 같이 묶어서 보여준다.

 그럼 Locale을 판단하는 방법은 무엇일까? Spring에서는 LocaleResolver 인터페이스를 구현한 Bean을 등록하여 등록된 Bean이 Locale을 판단하도록 하고 있다. 아무런 설정을 하지 않은 상태에서는 AcceptHeaderLocaleResolver가 기본으로 등록되어 사용된다. AcceptHeaderLocaleResolver는 HTTP Request의 "accept-language" 헤더의 값을 이용해서 Locale을 판단한다. 현재 대부분의 Major 브라우저들은 요청에 이 헤더를 포함시켜서 요청을 하기때문에 별 설정을 하지 않아도 잘 동작한다.

 그런데 만약 사용자가 직접 언어를 선택할 수 있는 기능이 필요하다면 사용자가 선택한 Locale 값을 Session이나 Cookie에 저장해서 그 값을 이용하도록 해야한다. 이런 경우라면 SessionLocaleResolver나 CookieLocaleResolver를 LocaleResolver로 등록해주면 된다. 이것들은 각각 Session이나 Cookie에 포함된 특정 attribute의 값을 기준으로 Locale을 판단하며 해당 attribute가 없으면 AcceptHeaderLocaleResolver와 같이 "accept-language" 헤더의 값으로 Locale을 판단한다. 자세한 사항은 Spring Framework 문서를 참조하길 바란다.

 Spring Boot에서 원하는 LocaleResolver를 bean으로 등록하는 방법은 Application 클래스에 아래와 같은 메소드를 등록해주면 된다.

@SpringBootApplication
public class UserServiceApplication {

    ...

    @Bean
    public LocaleResolver localeResolver() {
        SessionLocaleResolver localeResolver = new SessionLocaleResolver();
        localeResolver.setDefaultLocale(Locale.US);
        return localeResolver;
    }
}

 HTTP request의 헤더나 Session, Cookie가 아닌 HTTP request의 parameter를 이용해서 Locale을 바꾸는 방법도 있다. HTTP request의 parameter를 이용하려면 LocaleChangeInterceptor를 Interceptor로 등록해주면된다. LocaleChangeInterceptor는 "locale=xx" 형태의 parameter를 받아서 Locale을 바꿔준다. 예를 들어 요청 URL이 "http://www.somesite.com/?locale=ko"라면 Locale을 한국어로 바꾸어주는 것이다. parameter의 이름을 "locale"이 아닌 다른 값으로 바꿀 수도 있다. 자세한 사항은 Spring Framework의 문서를 참조하길 바란다.

 LocaleChangeInterceptor를 등록하는 방법도 간단하다. 아래 코드에서 보듯이 Application 클래스가 WebMvcConfigurer를 implement하도록 하고 두 메소드를 추가하는 것이다.

@SpringBootApplication
public class UserServiceApplication implements WebMvcConfigurer {

    ...

    @Bean
    public LocaleChangeInterceptor localeChangeInterceptor() {
        LocaleChangeInterceptor lci = new LocaleChangeInterceptor();
        return lci;
    }

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        registry.addInterceptor(localeChangeInterceptor());
    }
}

 메소드 이름에서 짐작하겠지만 첫 번째 메소드는 LocaleChangeInterceptor를 bean으로 등록하는 것이고 두 번째 메소드는 등록된 LocaleChangeInterceptor bean을 Interceptor로 등록(추가)하는 것이다.

 한 가지 더 추가로 얘기하자면 스프링 5.0 이전 버전에서는 WebMvcConfigurerAdapter를 상속해야 했지만 5.0부터는 WebMvcConfigurer 인터페이스에 default method가 추가되어 WebMvcConfigurer 인터페이스를 직접 구현하도록 바뀌었으므로 참고하도록 하자.

Read More

Spring Boot 프로젝트를 War로 패키징하기(생성하기)

 Spring Boot를 사용하는 이유를 나열해 본다면 많은 장점들이 있겠지만 그 중에서도 꽤나 큰 장점으로 Embedded Tomcat을 내장함으로써 Web 프로젝트 개발 시에 그리고 배포시에 매우 간단하게 작업할 수 있다는 간편함을 들 수 있겠다. 하지만 현업에서 실제 배포시에 Jar 파일을 그대로 실행해서 서비스를 하는 경우는 드물고 Apache + Tomcat 환경에서 War 파일 형태로 배포해야 하는 경우가 꽤 많다.

 그래서 하나의 웹 프로젝트를 생성해서, 개발중에는 Embedded Tomcat을 이용하여 개발 & 테스트를 수행하고, 배포는 간단하게 War로 패키징해서 배포하는 방법을 여기에 설명해 보려고 한다.

 Spring Boot 프로젝트를 생성하는 가장 간단한 방법은 Spring Initializr 사이트를 이용하는 것이다. Spring Initializr 에 접속해보자.

 사이트에 접속하면 위와 같은 페이지가 보이는데 화면 하단의 "Switch to the full version" 링크를 눌러서 화면을 Full version으로 전환해 보도록 하자. 

 화면을 전환하면 위와 같은 화면이 나오는데 Group, Artifact 같은 값들을 원하는 값으로 채워준다. 빨간색으로 표시한 부분의 값들은 원래 기본값이 있었으나 내가 바꿔준 것들이므로 간단히 설명하겠다. 필자는 개발툴로 IntelliJ IDEA를 사용할 예정인데 개인적으로 IntelliJ에서는 Maven보다 Gradle을 선호하기 때문에 일단 Gradle Project를 선택했다. 그리고 Package Name은 기본적으로 Group.Artifact 형태로 자동 입력되지만 필자는 package 이름에 대문자가 들어가는 걸 원치 않기 때문에 이 값은 적절히 바꿔주었다. 그리고 가장 중요한 Packaging값은 기본적으로 Jar지만 이 값을 War로 바꿔주도록 한다. 마지막으로 Dependencies 값은 Web 프로젝트를 만들 것이므로 간단하게 "Web"을 추가해준다. 

 인터넷에서 많은 개발자들이 Jar 프로젝트를 War로 바꾸는 방법을 설명하고 있지만 생성할 때 이렇게 Packaging값을 War로 지정해서 생성하면 프로젝트 설정을 바꾸지 않고도 Jar와 War의 장점을 모두 이용할 수 있으므로 꼭 War로 생성하길 바란다. 

 이제 설정이 끝났으면 Generate Project 버튼을 눌러보자. zip 파일을 하나 다운받게 되는데 이 파일을 원하는 곳에 풀고 IntelliJ로 열어보도록 하자. IntelliJ를 실행하고 Open 메뉴를 클릭한 후 압축을 푼 폴더를 선택하면 된다. 

 Open 메뉴를 실행하면 최초에 아래와 같은 Import 화면이 나오게 된다.

 기본값 그대로 사용해도 되지만 필자는 항상 빨간색으로 표시한 부분에 체크를 해준다. 체크박스의 라벨을 읽어보면 알겠지만 체크를 해주는 게 나중에 더 편리하기 때문에 항상 체크를 하고 넘어간다. 나중에라도 이 설정은 바꿀 수 있으므로 원하는 대로 해주고 OK를 누르면 된다. 

 OK를 눌러서 Open을 하고나면 IntelliJ가 수 초 동안 여러가지 작업을 하게되는 잠시 기다려 주도록 하자. 잠시 후 작업이 끝나고 Project뷰와 Gradle 뷰를 보면 아래와 같은 상태일 것이다.

 위 그림에서 빨간색으로 표시해 놓은 부분들을 자세히 보도록 하자. 이 부분들이 Packaging을 Jar로 해서 생성한 것과 비교했을 때 크게 다른 부분들이라고 할 수 있겠다. 일단 왼쪽의 Project 뷰를 보면 ServletInitializer 클래스가 추가되었다. War로 배포했을 때 web.xml 없이 configuration을 제공할 수 있도록 하는 클래스이다. 클래스의 내용을 열어봐도 HelloSpringBootApplication 클래스를 Configuration source로 지정하는 것 말고는 별 내용이 없다. 하지만 War로 배포할 때 반드시 필요하기 때문에 자동으로 생성이 된다.

 그 다음 오른쪽의 Gradle 뷰를 보면 Jar로 생성했을 때와는 달리 bootWar와 war 태스크들이 보인다. War 파일을 생성하고 싶다면 bootWar 태스크를 실행시키면 된다. build/libs 폴더 아래 War 파일이 생성되고 이 파일을 그대로 Tomcat의 webapps 폴더에 배포해주면 된다. Jar를 생성하고 싶다면 bootJar 태스크를 실행시키면 같은 위치(build/libs)에 Jar 파일이 생성된다. 이 Jar 파일도 터미널에서 직접 실행이 가능하다. 

 개발 중에는 프로젝트를 Jar로 생성했을 때와 마찬가지로 bootRun 태스크로 실행하면 Embedded Tomcat 환경에서 실행이 되므로 bootRun 태스크를 이용해서 Test & Debugging을 하면 된다. 

 참고로 IntelliJ와 관련하여 추가적으로 설정할 게 하나 있다. 아래 그림과 같이 build.gradle 파일을 열어서 eclipse 플러그인을 주석처리하고 idea 플러그인을 넣어주도록 하자.

 이제 IntelliJ 환경에서 Spring Boot로 Web 개발을 시작할 준비는 끝났다. 간단한 테스트를 위해서 web interface를 하나 추가하고 테스트를 해보자.

 아래 그림과 같이 HelloController 클래스를 하나 추가하고 bootRun 태스크를 실행해 보도록 하자.

 정확하게 입력했다면 위 그림의 하단에 보이는 로그가 출력되고 Embedded Tomcat 서버가 실행될 것이다. 이 상태에서 브라우저를 띄워서 "localhost:8080/hello"을 주소창에 입력해보면 아래 그림과 같은 페이지가 뜨게 된다. 

 Embedded Tomcat에 의해서 요청이 처리되고 있음을 알 수 있다. 참고로 bootRun 태스크를 실행하지 않고 bootJar를 실행해서 생성된 Jar파일을 터미널에서 직접 실행해도 같은 결과를 얻을 수 있다.

 이제 war로 배포를 해보자. 먼저 Gradle 뷰에서 bootWar 태스크를 실행한다. build/libs 폴더 아래 생성된 War 파일을 sample.war로 이름을 바꿔서 Tomcat의 webapps 폴더에 복사해 넣어보자. 로컬이 아닌 다른 장비에 Tomcat 환경이 구축되어있다면 테스트 결과가 더 명확하게 보일 것이므로 필자는 다른 장비에 있는 Tomcat에 배포를 하였다. Tomcat 설정을 auto deploy가 되도록 했다면 war 파일이 풀리고 바로 접근이 가능하게 된다.

 브라우저를 띄워서 주소창에 "서버주소:포트/sample/hello"를 입력해보자. 같은 페이지 내용이 보일 것이다. 보이지 않는다면 Tomcat의 deploy문제나 방화벽, 파일 접근 권한 등에 문제가 있는 것이므로 체크해보도록 하자. 

 여기서 한 가지 주의할 점은 sample.war로 배포했기 때문에 deploy가 되면서 webapps/sample 폴더에 deploy가 되고 접속 URL의 경로가 /sample/hello가 된다는 것이다. 이 부분은 Tomcat과 Spring을 좀 다루어 본 독자라면 잘 이해하고 있을 것이므로 따로 설명은 하지 않겠다.

 필자가 테스트를 수행한 Tomcat은 9 버전이다. 아마도 Tomcat 8 버전에서도 잘 될 것이라고 생각된다. 하지만 Tomcat 7 에서는 deploy가 되지 않는 현상이 있었다. 로그파일 확인 결과 javax.el-api의 버전이 낮아서 생기는 문제였다. Spring Boot 버전에 따라서 Embedded Tomcat의 버전이 달라지는데 Spring Boot 2.0.3 버전에서는 Tomcat 8.5.xx 버전을 사용하고 있기 때문에 Tomcat 7에서는 문제가 발생하는 것으로 보인다. 이것 말고도 Spring Boot가 사용하는 다른 여러 api의 버전 차이가 문제가 될 수 있으므로 만약 deploy가 되지 않으면 catalina.out 로그 파일을 체크하여 문제를 파악해 보는게 좋겠다.

 Spring Boot가 어떤 버전의 Tomcat을 사용하는 지 알아보는 법은 Maven Repository 사이트에 접속하여 spring-boot-starter-tomcat 라이브러리를 찾고 이 라이브러리의 Dependency를 체크해보면 dependency가 걸려있는 Tomcat의 버전을 알 수 있다.

 이렇게 모든 설명이 끝났다. 상당히 많은 양의 글을 썼지만 한 가지로 요약하자면 프로젝트를 생성할 때 Packaging값을 War로 설정하는 것이다. 이 점만 잊지말기를 바란다.

Read More

(AWS) Amazon Linux 2에 Tomcat 9 설치하기

 이전 포스팅에서 yum을 이용한 Tomcat 설치에 대한 얘기를 했으나 yum으로 배포되는 Tomcat의 버전이 7.x 인지라 최신 버전을 이용해야 하는 개발자에게는 별로 도움이 되지 못한다. 그래서 이번에는 yum을 이용하지 않고 직접 Tomcat 사이트에서 배포하는 최신 Tomcat 9.x 버전으로 설치하는 방법을 설명해 보려고 한다.

 참고로 Amazon Linux 2는 CentOS를 기반으로 만들어졌기 때문에 아래 내용은 CentOS 7에서도 잘 동작하는 것으로 확인되었다.

 당연히 Tomcat 9도 JDK가 설치되어 있어야 한다. 혹시 설치되지 않은 상태라면 이전 글을 참고하여 JDK 1.8 이상을 먼저 설치하도록 하자.

 먼저 Tomcat 9 공식 배포 사이트에 접속하여 Tomcat 9.x 버전을 다운로드하도록 한다.

 여기서는 AWS의 Amazon Linux 2에 설치할 것이므로 tar.gz 으로 배포하는 버전을 받으면 된다. 다운받은 파일은 아래 명령으로 EC2 인스턴스에 복사한 후 EC2 인스턴스에 접속하도록 하자.

$ scp -i aws_keypair.pem apache-tomcat-9.0.xx.tar.gz ec2-user@{Public IP}:~/
$ ssh -i aws_keypair.pem ec2-user@{Public IP}

 접속을 하고나면 홈 폴더에는 방금 복사해넣은 Tomcat 배포 파일이 있다. 이 파일을 압축을 풀고 /opt/server/ 밑에 설치하도록 한다. 그리고나서 opt 폴더 아래 tomcat이라는 심볼릭 링크를 하나 만들어 놓도록 하자.

$ sudo mkdir /opt/server
$ sudo tar xvfz apache-tomcat-9.0.xx.tar.gz -C /opt/server/
$ cd /opt
$ sudo ln -s /opt/server/apache-tomcat-9.0.xx/ tomcat

 이제 파일의 복사 작업은 끝이 났으므로 홈 폴더에 있는 원본 tar.gz 파일은 삭제해도 상관없다. 이제 설치된 파일들의 권한 설정을 해주어야 한다.

 일반적으로 Tomcat의 실행 및 종료는 root 계정으로 하지 않는다. tomcat 계정을 만들어서 이 계정으로 Tomcat이 실행되도록 하는 게 일반적이다. root를 사용하는 것 보다는 tomcat 계정을 만들어서 사용하는 게 보안에 훨씬 도움이 되기 때문이다.

 그럼 tomcat 계정을 만들어보도록 하자. 아래 명령으로 tomcat 계정을 만든다.

$ sudo groupadd tomcat
$ sudo useradd -M -s /bin/nologin -g tomcat -d /opt/tomcat tomcat 

 간단히 설명을 하자면 먼저 tomcat 그룹을 만들고 그 다음 tomcat 사용자를 하나 만든다. 이 tomcat 계정은 로그인을 할 수 없으며 tomcat 그룹에 포함되고 /opt/tomcat 을 홈 폴더로 지정하고 있다. tomcat 계정으로 직접 로그인할 일은 없으므로 이렇게 만든다.

 만약 필요에 의하여 tomcat의 홈 폴더가 (로그 기록 등을 위해) 필요하다면 아래와 같이 -M -d 옵션은 빼고 실행하도록 하자.

$ sudo groupadd tomcat
$ sudo useradd -s /bin/nologin -g tomcat tomcat 

 이제 tomcat 계정이 준비되었다. 하지만 이렇게 하면 현재 로그인 가능한 계정으로는 tomcat에 폴더를 들어가서 뭔가를 확인할 수 없는 계정이 된다. 따라서 현재 로그인한 계정도 tomcat 폴더에 들어가서 로그 등을 확인할 수 있게 하려면 이 계정을 tomcat 그룹에 넣어주고 tomcat 그룹에 읽기 권한을 부여해주면 된다. 현재 계정이 centos라면 아래 명령으로 centos 계정을 tomcat 그룹에 추가해주도록 하자.

$ sudo usermod -aG tomcat centos

 이제 tomcat 계정이 준비되었으므로 전에 설치한 tomcat 폴더로 이동하여 권한 설정을 하도록 하겠다. 최초 권한은 소유자가 root로 되어있으므로 tomcat 계정으로 접근이 가능하도록 권한 설정을 다시 해주어야 한다.

$ cd /opt/tomcat

$ sudo chgrp -R tomcat /opt/tomcat/
$ sudo chown -R tomcat /opt/tomcat/

$ sudo find . -type d -exec chmod 750 {} +
$ sudo find . -type f -exec chmod 640 {} +

$ sudo chmod 750 bin/*.sh

 이제 위 작업에 대해서 간단히 설명하자면 설치된 Tomcat 파일들의 소유 그룹을 tomcat 그룹으로 설정하고 소유자를 tomcat 으로 변경한 다음 파일과 폴더의 권한을 다시 설정하는 작업이다. tomcat 그룹과 tomcat 계정 말고 다른 사용자는 접근할 수 없도록 750, 640으로 설정하고 있다. 마지막 명령은 bin 폴더에 있는 shell script 들이 실행될 수 있게 실행 권한을 부여하는 것이다.

 다음은 Tomcat을 서비스로 시작 & 종료할 수 있도록 시스템에 등록하는 작업을 할 차례이다. 아래 명령을 수행하여 /etc/systemd/system 폴더로 이동한 후 tomcat.service 파일을 만들고 그 아래 내용을 넣도록 하자.

$ cd /etc/systemd/system
$ sudo vi tomcat.service

# Systemd unit file for tomcat
[Unit]
Description=Apache Tomcat Web Application Container
After=syslog.target network.target

[Service]
Type=forking

Environment=JAVA_HOME=/usr/lib/jvm/jre
Environment=CATALINA_PID=/opt/tomcat/temp/tomcat.pid
Environment=CATALINA_HOME=/opt/tomcat
Environment=CATALINA_BASE=/opt/tomcat
Environment='CATALINA_OPTS=-Xms512M -Xmx1024M -server -XX:+UseParallelGC'
Environment='JAVA_OPTS=-Djava.awt.headless=true -Djava.security.egd=file:/dev/./urandom'

ExecStart=/opt/tomcat/bin/startup.sh
ExecStop=/bin/kill -15 $MAINPID

User=tomcat
Group=tomcat
UMask=0007
RestartSec=10
Restart=always

[Install]
WantedBy=multi-user.target

 위 내용 중 각종 경로의 값은 자신의 상태에 맞게 바꾸면 된다. 하지만 경로들은 대부분 일치할 것이고 CATALINA_OPTS의 값을 바꾸는 일이 생길지도 모르겠다. 원하는 값으로 바꾸면 된다.

 그런데 최근에 여기서 한 가지 문제가 발견되었다. Tomcat 9.0.13 까지는 이 방법으로 시작 & 종료가 잘 동작하는데 9.0.14 버전이 동작하지 않는다. 이렇게 설정을 하고 시작을 시켜보면 조용하게 실패해버린다. Tomcat쪽에는 아무런 로그도 없이 실패해버려서 어떻게 해 볼 수가 없었다. 이 글을 수정하는 시점에서는 한 달도 안된 버전이라 뭐가 잘못된 건지 정보도 없어서 더 이상 어떻게 해 볼 수가 없었다. (혹시 이 문제에 대해서 아시는 분은 댓글 남겨주시면 대단히 감사하겠습니다.)

 이제 아래 명령으로 tomcat을 실행 & 종료할 수 있다.

# Tomcat 시작
$ sudo service tomcat start 

# Tomcat 종료
$ sudo service tomcat stop

# Tomcat 재시작
$ sudo service tomcat restart

# 부팅 시 Tomcat 자동 실행
$ sudo systemctl enable tomcat

 이제 Tomcat을 시작시키고 브라우저를 띄워서 주소창에 EC2 인스턴스의 Public IP와 포트 8080으로 접속해 보도록 하자. 아래와 같이 테스트 페이지가 뜬다면 일단 성공적으로 설치가 된 것이다.

 위 페이지에서 "Manager App"이나 "Host Manager" 등의 기능을 이용하고 싶다면 이전 포스팅에서 설명한 것처럼 계정을 추가하고 약간의 설정을 더 해주어야 한다.

 Tomcat 9도 마찬가지로 Manager App을 사용하려면 사용자 계정을 등록해 주어야 한다. 기본 설치 상태에서는 계정이 하나도 등록되어있지 않기 때문에 먼저 계정을 등록해 주도록 하자. /opt/tomcat/conf/tomcat-users.xml 파일을 열어서 아래와 같이 계정을 추가한다. username과 password는 원하는 값으로 바꿔주면 된다.

<tomcat-users ... >
...
  <role rolename="manager-gui"/>
  <role rolename="admin-gui"/>
  <user username="admin" password="mypassword" roles="admin-gui,manager-gui"/>
</tomcat-users>

 이제 사용자 등록은 되었으나 그래도 403 에러를 내면서 접속이 되지 않을 것이다. Tomcat 7과 달리 Tomcat 9에서는 localhost에서만 Manager App에 접근할 수 있도록 설정되어있기 때문에 다른 장비에서 접속을 시도하면 접속이 되지 않는다. 이것을 해제하기 위해서는 각 webapp의 META-INF 폴더 안에 있는 context.xml 파일을 수정해주어야 한다. webapps/manager 폴더와 webapps/host-manager 폴더 안에있는 META-INF/context.xml 파일을 열어서 아래와 같이 주석처리를 해주면 다른 장비에서 접속이 가능해진다.

...
<Context antiResourceLocking="false" privileged="true" >
  <!--<Valve className="org.apache.catalina.valves.RemoteAddrValve"
         allow="127\.\d+\.\d+\.\d+|::1|0:0:0:0:0:0:0:1" />-->
  <Manager sessionAttributeValueClassNameFilter="java\.lang\.(?:Boolean|Integer|Long|Number|String)|org\.apache\.catalina\.filters\.CsrfPreventionFilter\$LruCache(?:\$1)?|java\.util\.(?:Linked)?HashMap"/>
</Context>

 수정이 끝났으면 Tomcat을 재시작하고 아까 등록한 계정으로 Manager App에 접속해보자. 이제 접속이 될 것이다. 접속이 안된다면 보안 그룹(방화벽) 설정이 제대로 되어 있는지 체크해 보도록 하자.

 Tomcat 설치 작업은 이제 끝이다. 지금부터는 자신이 원하는 환경이 되도록 conf/server.xml 파일 등을 수정해서 사용하면 된다.

Read More