Day 48 - Spring Security

이 글은 2026년 05월 11일 작성된 글입니다.

오늘은 Thymeleaf 기반 폼 처리 개선, 게시글 목록과 상세 리다이렉트, 그리고 Spring Security와 회원가입 기능까지 정리했다.

1. Thymeleaf 도입

기존에는 컨트롤러에서 HTML을 직접 만들거나 문자열을 조립하는 방식에 가까웠지만, 이제는 Thymeleaf 템플릿 파일을 사용해서 화면을 분리했다.

<form action="/posts/write" method="post">
    <input type="text" name="title">
    <textarea name="content"></textarea>
    <button type="submit">등록</button>
</form>

Controller는 요청을 처리한다.
Thymeleaf는 화면을 렌더링한다.
역할이 더 명확해진다.

2. th:text와 th:utext

Thymeleaf에서 값을 출력할 때는 th:text와 th:utext를 사용할 수 있다.

문법	설명
`th:text`	HTML 특수문자를 이스케이프해서 출력
`th:utext`	HTML 태그를 해석해서 출력

<span th:text="${user.name}"></span>
<span th:utext="${htmlContent}"></span>

일반 텍스트는 th:text를 사용하는 것이 안전하다. th:utext는 HTML을 그대로 렌더링하므로 신뢰할 수 있는 데이터에만 사용해야 한다.

3. GET 요청에서도 Form 객체가 필요한 이유

글 작성 페이지에 처음 들어올 때도 폼 객체가 필요하다.

@GetMapping("/posts/write")
public String showWrite(WriteForm form) {
    return "post/write";
}

Thymeleaf에서 form.title 같은 값을 사용하려면 처음 화면을 보여줄 때도 form 객체가 존재해야 한다.

GET 요청에서는 빈 form 객체가 필요하다.
POST 실패 시에는 사용자가 입력한 form 객체가 필요하다.

4. writeForm?.title 과 writeForm.title

Thymeleaf에서는 null 안전 접근을 위해 ?.를 사용할 수 있다.

<input th:value="${writeForm?.title}">

표현식	특징
`writeForm?.title`	writeForm이 null이어도 에러를 막는다.
`writeForm.title`	writeForm이 null이면 에러가 발생할 수 있다.

초기 GET 요청에서 form 객체가 없을 수 있다면 ?.를 쓰면 안전하다. 하지만 form 객체를 항상 모델에 넣는 구조라면 직접 접근해도 된다.

5. @ModelAttribute("form")

폼 객체 이름을 명확하게 지정하기 위해 @ModelAttribute("form")을 사용했다.

public String write(@ModelAttribute("form") WriteForm form) {
    return "post/write";
}

이렇게 하면 Thymeleaf에서 writeForm 대신 form이라는 이름으로 접근할 수 있다.

<input th:value="${form.title}">

6. POST URL 정리

처음에는 작성 처리 URL을 따로 두었다.

POST /posts/doWrite

하지만 POST 자체에 이미 생성이라는 의미가 있기 때문에 다음처럼 정리하는 것이 더 자연스럽다.

GET  /posts/write
POST /posts/write

같은 URL이라도 HTTP 메서드가 다르면 스프링은 서로 다른 액션으로 구분할 수 있다.

GET /posts/write는 작성 폼을 출력한다.
POST /posts/write는 작성 처리를 담당한다.

7. th:object와 th:field

폼 관련 중복을 줄이기 위해 th:object와 th:field를 사용했다.

<form th:object="${form}" method="post">
    <input th:field="*{title}">
    <textarea th:field="*{content}"></textarea>
</form>

th:object를 사용하면 내부에서 form. 접두어를 생략할 수 있다.

th:field는 다음 속성들을 자동으로 처리해준다.

name
id
value

8. #fields로 에러 메시지 출력

Validation 실패 시 Thymeleaf에서 에러 메시지를 출력했다.

<div th:if="${#fields.hasAnyErrors()}">
    <div th:each="err : ${#fields.allErrors()}" th:text="${err}"></div>
</div>

서버에서 검증한 결과를 사용자에게 다시 보여줄 수 있다.

검증 실패 메시지를 출력할 수 있다.
폼 화면을 유지할 수 있다.
사용자 입력 흐름이 더 자연스러워진다.

9. 등록 후 상세 페이지로 리다이렉트

게시글 등록이 끝나면 목록이 아니라 생성된 게시글의 상세 페이지로 이동하도록 처리했다.

return "redirect:/posts/" + post.getId();

등록 결과를 바로 확인할 수 있어서 사용자 흐름이 더 자연스럽다. HTTP 응답 코드 기준으로 보면 리다이렉트는 3xx 응답에 해당한다.

10. 게시글 목록 구현

게시글 목록 페이지를 구현했다.

<tr th:each="post : ${posts}">
    <td th:text="${post.id}"></td>
    <td>
        <a th:href="@{|/posts/${post.id}|}" th:text="${post.title}"></a>
    </td>
</tr>

목록에서 상세 페이지로 이동할 수 있도록 링크도 함께 연결했다.

11. Member 도메인 추가

회원 기능을 위해 Member 도메인을 추가했다.

Member 엔티티
MemberRepository
MemberService

게시글 기능과 마찬가지로 회원 기능도 도메인 단위로 분리해서 관리한다.

12. Spring Security 의존성 추가

회원 기능과 인증 처리를 위해 Spring Security를 추가했다.

implementation("org.springframework.boot:spring-boot-starter-security")

Security를 추가하면 기본적으로 인증/인가 기능이 적용된다.

13. SecurityConfig 설정

Security 설정을 직접 구성하기 위해 SecurityConfig를 만들었다.

@Configuration
@EnableWebSecurity
public class SecurityConfig {
}

기본 보안 설정을 프로젝트에 맞게 수정하기 위한 단계이다.

14. h2-console 접근 허용

Spring Security가 적용되면 h2-console 접근도 막힐 수 있다. 그래서 개발 중에는 h2-console에 접근할 수 있도록 SecurityConfig에서 허용했다.

개발 편의성을 확보할 수 있다.
DB 상태를 브라우저에서 확인할 수 있다.

15. 회원가입 기능 구현

회원가입 기능을 구현하고 테스트 회원 3명을 생성했다.

회원가입에서는 다음 값을 받는다.

username
password
nickname 또는 name

16. 회원가입 폼 구현

회원가입 입력 화면을 만들었다.

<form th:object="${form}" method="post">
    <input th:field="*{username}">
    <input th:field="*{password}" type="password">
    <input th:field="*{nickname}">
    <button type="submit">회원가입</button>
</form>

17. 회원가입 Validation

회원가입 폼에도 validation을 적용했다.

@NotBlank
private String username;
 
@NotBlank
private String password;

빈 값이나 잘못된 값이 들어오지 않도록 서버에서 검증했다.

18. 회원가입 데이터 검증

단순히 빈 값만 확인하는 것이 아니라 회원가입 처리 과정에서 필요한 데이터 검증도 추가했다.

예를 들면 다음과 같은 검증이 필요하다.

아이디 중복 여부
비밀번호 조건
필수 입력값 확인

19. 회원가입 검증 리팩토링

회원가입 검증 로직을 정리하여 컨트롤러가 너무 복잡해지지 않도록 개선했다.

검증과 저장 로직을 적절히 분리하면 회원 기능이 커져도 유지보수하기 쉬워진다.

✅ 정리

Thymeleaf를 사용하면서 컨트롤러와 화면의 역할을 더 명확하게 나눌 수 있었다.
th:object와 th:field를 사용하면 폼 코드를 훨씬 간결하게 작성할 수 있다.
Validation과 #fields를 함께 사용하면 사용자에게 에러 메시지를 자연스럽게 보여줄 수 있다.
GET과 POST를 같은 URL로 두고 메서드로 구분하면 REST 흐름에 더 가까운 구조가 된다.
Spring Security를 추가하면서 회원가입과 인증 기능을 위한 기반을 만들 수 있었다.