이전 글을 참조하고 깃 허브에 RSATest 프로젝트 파일을 참조에서 jsp 로그인 보안처리를 해보자.
csrf 보안처리까지 해야 하므로 다음과 같이 변경 하였다.
LoginFormAction
package net.macaronics.web.controll; import java.io.IOException; import java.security.KeyFactory; import java.security.KeyPair; import java.security.KeyPairGenerator; import java.security.PrivateKey; import java.security.PublicKey; import java.security.spec.RSAPublicKeySpec; import javax.servlet.RequestDispatcher; import javax.servlet.ServletException; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import javax.servlet.http.HttpSession; import net.macaronics.web.controll.action.Action; public class LoginFormAction implements Action { public static final int KEY_SIZE = 1024; @Override public void execute(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { String url = "member/loginForm.jsp"; try { KeyPairGenerator generator = KeyPairGenerator.getInstance("RSA"); generator.initialize(KEY_SIZE); KeyPair keyPair = generator.genKeyPair(); KeyFactory keyFactory = KeyFactory.getInstance("RSA"); PublicKey publicKey = keyPair.getPublic(); PrivateKey privateKey = keyPair.getPrivate(); HttpSession session = request.getSession(); // 세션에 공개키의 문자열을 키로하여 개인키를 저장한다. session.setAttribute("__rsaPrivateKey__", privateKey); // 공개키를 문자열로 변환하여 JavaScript RSA 라이브러리 넘겨준다. RSAPublicKeySpec publicSpec = (RSAPublicKeySpec) keyFactory.getKeySpec(publicKey, RSAPublicKeySpec.class); String publicKeyModulus = publicSpec.getModulus().toString(16); String publicKeyExponent = publicSpec.getPublicExponent().toString(16); request.setAttribute("publicKeyModulus", publicKeyModulus); request.setAttribute("publicKeyExponent", publicKeyExponent); request.getRequestDispatcher(url).forward(request, response); } catch (Exception ex) { throw new ServletException(ex.getMessage(), ex); } } }
LoginFormAction 을 코딩하였으면 현재 프로젝트에서 ActionFactory 에서 url 파라미터에 맞는 객체 생성을 한다.
loginForm.jsp
EL 로 코드를 변경 하였으며 js improt 는 필수이다.
<!-- script 태그에서 가져오는 자바스크립트 파일의 순서에 주의해야한다! 순서가 틀릴경우 자바스크립트 오류가 발생한다. --> <script type="text/javascript" src="${request.getContextPath() }/js/rsa/jsbn.js"></script> <script type="text/javascript" src="${request.getContextPath() }/js/rsa/rsa.js"></script> <script type="text/javascript" src="${request.getContextPath() }/js/rsa/prng4.js"></script> <script type="text/javascript" src="${request.getContextPath() }/js/rsa/rng.js"></script> <script type="text/javascript" src="${request.getContextPath() }/js/login.js"></script>
자바스크립트 처리하기 때문에 아이값과 폼에서 id="username" id="password" 로 해야 한다.
또한, 아래 히든값 처리 아이디와 name 을 동일하게 처리한다.
<input type="hidden" id="rsaPublicKeyModulus" value="${publicKeyModulus}" /> <input type="hidden" id="rsaPublicKeyExponent" value="${publicKeyExponent}" /> <csrf:form id="securedLoginForm" name="securedLoginForm" action="${request.getContextPath() }/member/loginproc.jsp" method="post" style="display: none;"> <input type="hidden" name="securedUsername" id="securedUsername" value="" /> <input type="hidden" name="securedPassword" id="securedPassword" value="" /> </csrf:form>
<%@page import="java.net.URLEncoder"%> <%@page import="config.GetIpAddress"%> <%@page import="java.util.Enumeration"%> <%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%> <%@ taglib uri="http://www.owasp.org/index.php/Category:OWASP_CSRFGuard_Project/Owasp.CsrfGuard.tld" prefix="csrf" %> <%@ taglib prefix="c" uri="http://java.sun.com/jsp/jstl/core" %> <%@ taglib prefix="fmt" uri="http://java.sun.com/jsp/jstl/fmt" %> <!DOCTYPE html > <html> <head> <jsp:include page="../include/Header.jsp" /> <!-- script 태그에서 가져오는 자바스크립트 파일의 순서에 주의해야한다! 순서가 틀릴경우 자바스크립트 오류가 발생한다. --> <script type="text/javascript" src="${request.getContextPath() }/js/rsa/jsbn.js"></script> <script type="text/javascript" src="${request.getContextPath() }/js/rsa/rsa.js"></script> <script type="text/javascript" src="${request.getContextPath() }/js/rsa/prng4.js"></script> <script type="text/javascript" src="${request.getContextPath() }/js/rsa/rng.js"></script> <script type="text/javascript" src="${request.getContextPath() }/js/login.js"></script> </head> <body> <jsp:include page="../include/HeaderMenu.jsp" /> <div class="row"> <div class="col-xs-12 col-sm-12"> <h2> </h2> <h2 class="text-center">로그인</h2> </div> <div class="col-xs-3 col-sm-3"></div> <form class="form-horizontal"> <div class="col-xs-8 col-sm-8"> <p> </p> <div class="form-group"> <div class="col-sm-2 control-label"> <label for="id">아이디</label> </div> <div class="col-sm-6 text-left"> <input type="text" class="form-control" name="id" id="username" > <p style="color:red;">${idError}</p> </div> </div> <div class="form-group"> <div class="col-sm-2 control-label"> <label id="pwd">패스워드</label> </div> <div class="col-sm-6"> <input type="password" class="form-control" name="pwd" id="password"> <p style="color:red;">${pwdError}</p> </div> </div> </div> <div class="col-xs-12 col-sm-12"> <div class="form-group text-center" > <div class="col-xs-12 col-sm-12" style="color:red;"> <c:if test="${param.msg=='failed' }"> <script> alert("아이디 또는 비밀번호가 일치하지 않습니다."); location.href="/MacaronicsServlet?command=login_form"; </script> </c:if> </div> </div> </div> <div class="col-xs-12 col-sm-12"> <div class="form-group text-center" > <div class="col-xs-12 col-sm-12"> <input type="button" value="로그인" class="btn btn-primary" onclick="validateEncryptedForm(); return false;"> <input type="reset" value="취소" class="btn btn-warning"> </div> </div> </div> </form> <input type="hidden" id="rsaPublicKeyModulus" value="${publicKeyModulus}" /> <input type="hidden" id="rsaPublicKeyExponent" value="${publicKeyExponent}" /> <csrf:form id="securedLoginForm" name="securedLoginForm" action="${request.getContextPath() }/member/loginproc.jsp" method="post" style="display: none;"> <input type="hidden" name="securedUsername" id="securedUsername" value="" /> <input type="hidden" name="securedPassword" id="securedPassword" value="" /> </csrf:form> </div> <h2> </h2> <h2> </h2> <h2> </h2> <h2> </h2> <jsp:include page="../include/Footer.jsp" />
LoginServlet
package config; import java.io.IOException; import java.math.BigInteger; import java.security.PrivateKey; import javax.crypto.Cipher; import javax.servlet.ServletException; import javax.servlet.http.HttpServlet; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import javax.servlet.http.HttpSession; import org.apache.logging.log4j.LogManager; import org.apache.logging.log4j.Logger; import net.macaronics.web.dao.MemberDAO; import sun.misc.BASE64Decoder; import sun.misc.BASE64Encoder; public class LoginServlet { final static Logger logger =LogManager.getLogger(LoginServlet.class); // 암호화된 비밀번호를 복호화 한다. public boolean processRequest(HttpServletRequest request, HttpServletResponse response) throws ServletException, IOException { String securedUsername = request.getParameter("securedUsername"); String securedPassword = request.getParameter("securedPassword"); // 파라미터로 넘어온 값 logger.info("securedUsername: {} ",securedUsername ); logger.info("securedPassword: {}", securedPassword); HttpSession session = request.getSession(); PrivateKey privateKey = (PrivateKey) session.getAttribute("__rsaPrivateKey__"); session.removeAttribute("__rsaPrivateKey__"); // 키의 재사용을 막는다. 항상 새로운 키를 받도록 강제. if (privateKey == null) { throw new RuntimeException("암호화 비밀키 정보를 찾을 수 없습니다."); } try { String username = decryptRsa(privateKey, securedUsername); String password = decryptRsa(privateKey, securedPassword); request.setAttribute("username", username); request.setAttribute("password", password); // 파라미터로 넘어온 setAttribute 로 가져오기 값 logger.info("request.getAttribute(): {}, {} ",username, password); return confirm(username,password); } catch (Exception ex) { throw new ServletException(ex.getMessage(), ex); } } //비밀번호 아이디 확인 private boolean confirm(String id , String pwd){ MemberDAO dao =MemberDAO.getInstance(); return dao.checkIdAndPwd(id, pwd); } private String decryptRsa(PrivateKey privateKey, String securedValue) throws Exception { System.out.println("will decrypt : " + securedValue); Cipher cipher = Cipher.getInstance("RSA"); byte[] encryptedBytes = hexToByteArray(securedValue); cipher.init(Cipher.DECRYPT_MODE, privateKey); byte[] decryptedBytes = cipher.doFinal(encryptedBytes); String decryptedValue = new String(decryptedBytes, "utf-8"); // 문자 인코딩 주의. return decryptedValue; } // 16진 문자열을 byte 배열로 변환한다. public static byte[] hexToByteArray(String hex) { if (hex == null || hex.length() % 2 != 0) { return new byte[]{}; } byte[] bytes = new byte[hex.length() / 2]; for (int i = 0; i < hex.length(); i += 2) { byte value = (byte)Integer.parseInt(hex.substring(i, i + 2), 16); bytes[(int) Math.floor(i / 2)] = value; } return bytes; } // BigInteger를 사용해 hex를 byte[] 로 바꿀 경우 음수 영역의 값을 제대로 변환하지 못하는 문제가 있다. @Deprecated public static byte[] hexToByteArrayBI(String hexString) { return new BigInteger(hexString, 16).toByteArray(); } public static String base64Encode(byte[] data) throws Exception { BASE64Encoder encoder = new BASE64Encoder(); String encoded = encoder.encode(data); return encoded; } public static byte[] base64Decode(String encryptedData) throws Exception { BASE64Decoder decoder = new BASE64Decoder(); byte[] decoded = decoder.decodeBuffer(encryptedData); return decoded; } }
loginproc.jsp
<%@page import="net.macaronics.web.dto.MemberVO"%> <%@page import="net.macaronics.web.dao.MemberDAO"%> <%@page import="config.LoginServlet"%> <%@ page language="java" contentType="text/html; charset=UTF-8" pageEncoding="UTF-8"%> <% LoginServlet login =new LoginServlet(); if(login.processRequest(request, response)){ //로그인 성공시 MemberDAO dao =MemberDAO.getInstance(); MemberVO vo=dao.getMember((String)request.getAttribute("username")); session.setAttribute("loginUser", vo); response.sendRedirect("/index.html"); }else{ //로그인 실패 //request.setAttribute("msg", "아이디 또는 비밀번호가 일치하지 않습니다."); //request.getRequestDispatcher("/member/loginForm.jsp").forward(request, response); response.sendRedirect("/member/loginForm.jsp?msg=failed"); } %>
Mybatis
mybatis 에서 전달될 파라미터 값이 두개 이상일경우는 무조건 Map 처리를 해야 한다.
MemberDAO
//아이디와 비밀번화 체크 public boolean checkIdAndPwd(String id, String pwd){ int confirm=0; try{ sqlSession=MybatisService.getFactory().openSession(); Map<String, Object> map =new HashMap<>(); map.put("id", id); map.put("pwd",pwd); confirm=sqlSession.selectOne("member.checkIdAndPwd", map); }catch(Exception e){ e.printStackTrace(); }finally{ MybatisService.sessionClose(sqlSession); } //0보다 크면 로그인 성공 return confirm >0 ? true :false; }
아래그림은 CSRF 보안 쿠폰이 적용된 모습이고.
아이디와 패스워드가 다음과 같이 암호화 된다.
항상 새로운 키값으로 새롭게 암호화 처리된다.
19:47:45.004 [http-nio-8090-exec-5] INFO config.LoginServlet - securedUsername: 61b5c1999464352377ec09e8a899cf1cf9ececb1e2294c08844c7fd19c83be81a17fc59ca948695e17f1a394789b2ce37b3945b7618b974fdc9eced530a320609284619b5a958755d15f84fe48a4b19d35af25245c46cf2c3e6c8bd43e38e88132ae215c896fd4088f17a063ad7649abe91f2e9ecc288b88519bed08ae956f89 19:47:45.004 [http-nio-8090-exec-5] INFO config.LoginServlet - securedPassword: 75dacb4c058d8d5e902df7385e2e8d3101ba9bed254b753cec938f284827364e5479950c8e511ebc0c84b778874275df2d589cd5b58aae0827fa2dfe8b703b6bc0a1fc6a374df2f49a386c7125594067bd6d32bca6b3093a25c604241b4a36138c5172216c54121c3b5c053615ea603a4f3bd26d0fb2941ae117dc2cb5177ebf will decrypt : 61b5c1999464352377ec09e8a899cf1cf9ececb1e2294c08844c7fd19c83be81a17fc59ca948695e17f1a394789b2ce37b3945b7618b974fdc9eced530a320609284619b5a958755d15f84fe48a4b19d35af25245c46cf2c3e6c8bd43e38e88132ae215c896fd4088f17a063ad7649abe91f2e9ecc288b88519bed08ae956f89 will decrypt : 75dacb4c058d8d5e902df7385e2e8d3101ba9bed254b753cec938f284827364e5479950c8e511ebc0c84b778874275df2d589cd5b58aae0827fa2dfe8b703b6bc0a1fc6a374df2f49a386c7125594067bd6d32bca6b3093a25c604241b4a36138c5172216c54121c3b5c053615ea603a4f3bd26d0fb2941ae117dc2cb5177ebf
member.xml
<!-- 비밀번호 체크 --> <select id="checkIdAndPwd" resultType="int"> <![CDATA[ select count(*) from TBL_MEMBER where id=#{id} and pwd=#{pwd} ]]> </select>
실행화면
실패시
성공시
제작 : macaronics.net - Developer Jun Ho Choi
소스 : https://github.com/braverokmc79/jsp_sin
${request.getContextPath() } 처리를 안한 부분이 있으므로
루트 설정( http://macaronics.net/index.php/m01/jsp/view/1352) 및 server.xml 에서 DB 컨넥션 설정은 필수 설정이다.
댓글 ( 4)
댓글 남기기