1주차 인증 리뷰 부탁드립니다. :)

src/main/java/nextstep/app/config/WebConfig.java

@@ -0,0 +1,94 @@
+package nextstep.app.config;
+
+import jakarta.servlet.Filter;
+import nextstep.app.domain.Member;
+import nextstep.app.domain.MemberRepository;
+import nextstep.security.UserDetailService;
+import nextstep.security.UserDetails;
+import nextstep.security.config.AuthenticationManager;
+import nextstep.security.config.AuthenticationProvider;
+import nextstep.security.config.BasicAuthenticationProvider;
+import nextstep.security.config.DaoAuthenticationProvider;
+import nextstep.security.config.DefaultSecurityFilterChain;
+import nextstep.security.config.FilterChainProxy;
+import nextstep.security.config.ProviderManager;
+import nextstep.security.config.SecurityContextHolderFilter;
+import nextstep.security.config.SecurityFilterChain;
+import nextstep.security.filter.BasicAuthFilter;
+import nextstep.security.filter.UsernamePasswordAuthFilter;
+import org.springframework.context.annotation.Bean;
+import org.springframework.context.annotation.Configuration;
+import org.springframework.web.filter.DelegatingFilterProxy;
+import org.springframework.web.servlet.config.annotation.WebMvcConfigurer;
+
+import java.util.List;
+
+@Configuration
+public class WebConfig implements WebMvcConfigurer {
+
+    private final MemberRepository memberRepository;
+
+    public WebConfig(MemberRepository memberRepository) {
+        this.memberRepository = memberRepository;
+    }
+
+    @Bean
+    public DelegatingFilterProxy delegatingFilterProxy() {
+        return new DelegatingFilterProxy(filterChainProxy());
+    }
+
+    @Bean
+    public FilterChainProxy filterChainProxy() {
+        List<SecurityFilterChain> securityFilterChains = List.of(securityFilterChain());
+        return new FilterChainProxy(securityFilterChains);
+    }
+
+    @Bean
+    public SecurityFilterChain securityFilterChain() {
+        List<Filter> securityFilters = List.of(
+                new SecurityContextHolderFilter(),
+                new BasicAuthFilter(authenticationManager()),
+                new UsernamePasswordAuthFilter(authenticationManager())
+        );
+        return new DefaultSecurityFilterChain(securityFilters);
+    }
+
+    @Bean
+    public AuthenticationManager authenticationManager() {
+        List<AuthenticationProvider> providers = List.of(
+                daoAuthenticationProvider(),
+                basicAuthenticationProvider()
+        );
+        return new ProviderManager(providers);
+    }
+
+    @Bean
+    public BasicAuthenticationProvider basicAuthenticationProvider() {
+        return new BasicAuthenticationProvider(userDetailService());
+    }
+
+    @Bean
+    public DaoAuthenticationProvider daoAuthenticationProvider() {
+        return new DaoAuthenticationProvider(userDetailService());
+    }
+
+    @Bean
+    public UserDetailService userDetailService() {
+        return username -> {
+            Member member = memberRepository.findByEmail(username)
+                    .orElseThrow(() -> new IllegalArgumentException("해당하는 사용자를 찾을 수 없습니다."));
+            return new UserDetails() {
+                @Override
+                public String getUsername() {
+                    return member.getEmail();
+                }
+
+                @Override
+                public String getPassword() {
+                    return member.getPassword();
+                }
+            };
+        };
+    }
+
+}

src/main/java/nextstep/app/ui/MemberController.java

@@ -2,10 +2,8 @@
 
 import nextstep.app.domain.Member;
 import nextstep.app.domain.MemberRepository;
-import nextstep.app.util.Base64Convertor;
 import org.springframework.http.ResponseEntity;
 import org.springframework.web.bind.annotation.GetMapping;
-import org.springframework.web.bind.annotation.RequestHeader;
 import org.springframework.web.bind.annotation.RestController;
 
 import java.util.List;
@@ -20,22 +18,8 @@ public MemberController(MemberRepository memberRepository) {
     }
 
     @GetMapping("/members")
-    public ResponseEntity<List<Member>> list(@RequestHeader("Authorization") String authorization) {
-        try {
-            String credentials = authorization.split(" ")[1];
-            String decodedString = Base64Convertor.decode(credentials);
-            String[] usernameAndPassword = decodedString.split(":");
-            String username = usernameAndPassword[0];
-            String password = usernameAndPassword[1];
-
-            memberRepository.findByEmail(username)
-                    .filter(it -> it.matchPassword(password))
-                    .orElseThrow(AuthenticationException::new);
-
-            List<Member> members = memberRepository.findAll();
-            return ResponseEntity.ok(members);
-        } catch (Exception e) {
-            throw new AuthenticationException();
-        }
+    public ResponseEntity<List<Member>> list() {
+        List<Member> members = memberRepository.findAll();
+        return ResponseEntity.ok(members);
     }
 }

src/main/java/nextstep/app/ui/AuthenticationException.java → src/main/java/nextstep/security/AuthenticationException.java

@@ -1,8 +1,18 @@
-package nextstep.app.ui;
+package nextstep.security;
 
 import org.springframework.http.HttpStatus;
 import org.springframework.web.bind.annotation.ResponseStatus;
 
 @ResponseStatus(code = HttpStatus.UNAUTHORIZED)
 public class AuthenticationException extends RuntimeException {
+
+    public AuthenticationException() {
+        super();
+    }
+
+    public AuthenticationException(String message) {
+        super(message);
+
+    }
+
 }

src/main/java/nextstep/security/ProviderNotFoundException.java

@@ -0,0 +1,9 @@
+package nextstep.security;
+
+public class ProviderNotFoundException extends AuthenticationException {
+
+    public ProviderNotFoundException(String message) {
+        super(message);
+    }
+
+}

src/main/java/nextstep/security/UserDetailService.java

@@ -0,0 +1,7 @@
+package nextstep.security;
+
+public interface UserDetailService {
+
+    UserDetails getUserByUsername(String username);
+
+}

src/main/java/nextstep/security/UserDetails.java

@@ -0,0 +1,9 @@
+package nextstep.security;
+
+public interface UserDetails {
+
+    String getUsername();
+
+    String getPassword();
+
+}

src/main/java/nextstep/security/config/AbstractAuthenticationToken.java

@@ -0,0 +1,32 @@
+package nextstep.security.config;
+
+import nextstep.security.UserDetails;
+
+import java.security.Principal;
+
+//  Implementations which use this class should be immutable.
+public abstract class AbstractAuthenticationToken implements Authentication{
+
+    private Object details;
+
+    @Override
+    public String getName() {
+        if (this.getPrincipal() instanceof UserDetails userDetails) {
+            return userDetails.getUsername();
+        }
+        if (this.getPrincipal() instanceof Principal principal) {
+            return principal.getName();
+        }
+        return (this.getPrincipal() == null) ? "" : this.getPrincipal().toString();
+    }
+
+    public void setDetails(Object details) {
+        this.details = details;
+    }
+
+    @Override
+    public Object getDetails() {
+        return this.details;
+    }
+
+}

src/main/java/nextstep/security/config/Authentication.java

@@ -0,0 +1,81 @@
+package nextstep.security.config;
+
+
+import java.io.Serializable;
+import java.security.Principal;
+
+/**
+ * 일단 요청이  AuthenticationManager의 authenticate(Authentication) 메서드에 의해서 진행된다면
+ * 인증 요청이나 authenticated principaldㅔ 대한 토큰을 나타낸다.
+
+ * 일단 request가 authenticated 되면, 이 Authentication 객체는 SecurityContextHolder의 SecurityContext의 threadlocal에 저장된다.
+ * spring security의 authentication 메커니즘을 사용하지 않고 아래와 같이 Authentication 인스턴스를 생성해서 명시적으로 사용가능하다
+ * <pre>
+ * SecurityContext context = SecurityContextHolder.createEmptyContext();
+ * context.setAuthentication(anAuthentication);
+ * SecurityContextHolder.setContext(context);
+ * </pre>
+ *
+ * Authentication 객체가 authenticated 프로퍼티 값이 true로 지정되지 않는한,
+ * 만나는 security interceptor마다 인증된다.
+
+ * 대부분의 경우에 framework가 security context와 Authentication 객체를 를 투명하게 관리해줄것이다.
+ **/
+public interface Authentication extends Principal, Serializable {
+
+    /**
+     * principal이 올바른지 확인하는 crendentials.
+     * 주로 password이나 AuthenticationManager와 관련된 어느것이든 가능하다.
+     * caller가 이 credentials를 채운다.
+     *
+     * @return the credentials that prove the identity of the principal
+     */
+    Object getCredentials();
+
+    /**
+     * 인증 요청에 대한 추가적인 details를 저장한다.
+     * IP 주소나 인증서 일련번호 등
+     *
+     * @return 인증 요청에 대한 추가적인 details. 사용하지 않으면 null
+     */
+    Object getDetails();
+
+    /**
+     *
+     * 인증되는 principal(주체)의 신원.
+     * username / password로 인증 요청의 경우, username이 된다.
+     * AuthenticationManager implementation 은 더많은 정보를 가지고 있는 Authentication를 principal로 반환한다.
+     * UserDetails 객체를 principal로 사용
+     * @return 인증의 대상인 Principal이나 인증된 Principal
+     */
+    Object getPrincipal();
+
+    /**
+     * AbstractSecurityInterceptor가 인증 토큰을 AuthenticationManager에게 제시해야 하는지 여부를 나타내는 데 사용된다.
+     * 일반적으로 AuthenticationManager (AuthenticationProvider중 하나) 는 성공적인 인증 후 불변 인증 토큰을 반환하며,
+     * 그 경우 토큰이 안전하게 이 method에 true로 반환할 수 있다.
+     * true를 반환하는 것은 performance를 높이고 AuthenticationManager를 매 요청마다 호출하는것은 더이상 불필요하게 된다.
+     *
+     * 보안적인 이유로 이 인터페이스 구현체는 불변이거나 처음 생성때부터 변하지 않는 프로퍼티를 보장하는 방법이 있지 않은한 true를 반환하는 것에 매우 주의해야 한다.
+     *
+     * @return true if the token has been authenticated and the
+     * <code>AbstractSecurityInterceptor</code> does not need to present the token to the
+     * <code>AuthenticationManager</code> again for re-authentication.
+     */
+    boolean isAuthenticated();
+
+    /**
+     * <p>
+     * Implementations should <b>always</b> allow this method to be called with a
+     * <code>false</code> parameter, as this is used by various classes to specify the
+     * authentication token should not be trusted. If an implementation wishes to reject
+     * an invocation with a <code>true</code> parameter (which would indicate the
+     * authentication token is trusted - a potential security risk) the implementation
+     * should throw an {@link IllegalArgumentException}.
+     * @param isAuthenticated 는 토큰을 신뢰해야하는 경우 일때 true를 반환한다.
+     * 토큰을 신뢰하지 말아야하는 경우 false를 반환한다.
+     * @throws IllegalArgumentException |  authentication token을 신뢰하도록 만드는 시도가 실패했을경우 IllegalArgumentException 발생
+     */
+    void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException;
+
+}

src/main/java/nextstep/security/config/AuthenticationManager.java

@@ -0,0 +1,7 @@
+package nextstep.security.config;
+
+public interface AuthenticationManager {
+
+    Authentication authenticate(Authentication authentication);
+
+}

src/main/java/nextstep/security/config/AuthenticationProvider.java

@@ -0,0 +1,29 @@
+package nextstep.security.config;
+
+import nextstep.security.AuthenticationException;
+
+public interface AuthenticationProvider {
+
+    /**
+     * AuthenticationManager의 authenticate 메서드와 같은 contract으로 인증 수행
+
+     * @param authentication : 인증 요청 객체
+     * @return credential을 포함한 완전히 authenticated 객체를 반환.
+     * AuthenticationProvider가 받은 Authentication 객체에 대한 인증을 지원하지 않으면 지원null 을 반환 할 수 있음.
+     * 그러면 Authentication을 지원하는 그 다음 AuthenticationProvider가 시도된다.
+     */
+    Authentication authenticate(Authentication authentication) throws AuthenticationException;
+
+    /**
+     *
+     * AuthenticationProvider가 Authentication를 support 하면 true 반환
+     * true를 반환하는것이 AuthenticationProvider가 인증할 수 있을것이라고 보장하는 것이 아님. 그냥 더 자세히 평가를 지원한다는 의미.
+     * 다른 AuthenticationProvider를 시도해봐야한다는 의미로 AuthenticationProvider는 authenticate()결과를 null로 반환
+     * 인증 가능한 AuthenticationProvider 선택은 런타임에 ProviderManager에 의해서 이루어짐
+     *
+     * @param authentication
+     * @return <code>true</code> if the implementation can more closely evaluate the Authentication class presented
+     */
+    boolean supports(Class<?> authentication);
+
+}