다중 설정 클래스 작성 시 FilterSecurityInterceptor 적용 질문

Question

안녕하세요 강의를 보는 중에 궁금중이 생겨서 질문 드립니다. 1 번 질문 WebSecurityConfigurerAdapter 를 이용해서 설정 클래스를 두개 만든 경우 강의 기준으로 SecurityConfig, AjaxSecurityConfig 2개의 설정이 존재할 때 SecurityConfig 여기에는  customFilterSecurityInterceptor 인터셉터가 적용이 되고  AjaxSecurityConfig 에는 스프링 시큐리티에서 제공하는 FilterSecurityInterceptor 가 적용이 되는게 맞는지 질문드립니다. 2 번 질문 위와 같은 2개의 설정클래스가 있는 경우에 보안 필터에서 정적 자원을 무시하려면 web.ignoring() 설정이 둘 다 필요한지 궁금합니다. 3 번 질문 강의에서 구현하신 SecurityResourceService 의 경우 @Service 대신 @Bean 을 따로 하신 이유가 있는 지 궁금합니다.

weblue2 · Answer

답변 감사합니다. 덕분에 궁금한 점이 해결되었습니다.

정수원 · Answer

1 번 질문 네 맞습니다 보안 Filter 들은  WebSecurityConfigurerAdapter 를 구현하는 설정클래스마다 각 생성되고 실행되기 때문에 요청의 기준에 맞는 필터들이 별도 작동하게 됩니다. 2번질문 web.ingnoring() 도 설정 클래스마다 생성이 됩니다. 다만 한가지 기억하실 부분은 만약 두개의 설정클래스에서 web.ingnoring() 을 설정했다면 이 설정 값들은 FilterChainProxy 클래스가 리스트 형태로 가지고 있고 사용자의 요청을 처리할 때 이 값들을 사용해서 보안을 탈 것인지 무시할 것인지 결정하기 때문에 두개의 설정클래스에 동일한 값을 설정하는 것은 아무런 의미가 없고 설정 클래스마다 다른 값들을 설정할 경우에만 의미를 가집니다. private List<Filter> getFilters (HttpServletRequest request) { for (SecurityFilterChain chain : filterChains ) { if (chain.matches(request)) { return chain.getFilters() ; } } return null; } FilterChainProxy 의 일부인데 filterChains 에 두개의 설정클래스에서 설정한 web.ingnoring()의 값들이 들어가 있는데 요청한 정보가 web.ignoring() 에서 설정한 값과 일치할 경우에는 빈 필터목록을 리턴(chain.getFilters() 이 빈값) 하기 때문에 스프링 시큐리티의 보안 필터를 타지 않도록 처리하고 있습니다. 그렇기 때문에 굳이 동일한 값이라면 각 설정클래스마다  web.ingnoring() 을 선언하실 필요가 없고 한 곳에만 설정하시면 됩니다. 3번 질문 특별한 이유는 없습니다. 빈생성하는 여러가지 방법중 하나를 한 것입니다 어떤 것으로 해도 무방합니다.