구조 개선하기
149
작성한 질문수 20
@EnableWebSecurity
@Configuration
public class SecurityConfig {
@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http, HandlerMappingIntrospector introspector) throws Exception{
http
.addFilterAt(authorizationFilter(introspector), AuthorizationFilter.class)
.formLogin(Customizer.withDefaults())
.csrf(AbstractHttpConfigurer::disable);
return http.build();
}
@Bean
public AuthorizationFilter authorizationFilter(HandlerMappingIntrospector introspector){
List<RequestMatcherEntry<AuthorizationManager<RequestAuthorizationContext>>> mappings = new ArrayList<>();
RequestMatcherEntry<AuthorizationManager<RequestAuthorizationContext>> requestMatcherEntry1
= new RequestMatcherEntry<>(
new MvcRequestMatcher(introspector, "/user"),
AuthorityAuthorizationManager.hasAuthority("ROLE_USER"));
RequestMatcherEntry<AuthorizationManager<RequestAuthorizationContext>> requestMatcherEntry2
= new RequestMatcherEntry<>(
new MvcRequestMatcher(introspector, "/db"),
AuthorityAuthorizationManager.hasAuthority("ROLE_DB"));
RequestMatcherEntry<AuthorizationManager<RequestAuthorizationContext>> requestMatcherEntry3
= new RequestMatcherEntry<>(
new MvcRequestMatcher(introspector, "/admin"),
AuthorityAuthorizationManager.hasAuthority("ROLE_ADMIN"));
RequestMatcherEntry<AuthorizationManager<RequestAuthorizationContext>> requestMatcherEntry4
= new RequestMatcherEntry<>(
AnyRequestMatcher.INSTANCE,
// default strategy = AuthenticatedAuthorizationStrategy
new AuthenticatedAuthorizationManager<>());
mappings.add(requestMatcherEntry1);
mappings.add(requestMatcherEntry2);
mappings.add(requestMatcherEntry3);
mappings.add(requestMatcherEntry4);
RequestMatcherDelegatingAuthorizationManager manager = RequestMatcherDelegatingAuthorizationManager.builder()
.mappings(maps -> maps.addAll(mappings)).build();
return new AuthorizationFilter(manager);
}
@Bean
public UserDetailsService userDetailsService(){
UserDetails user = User.withUsername("user").password("{noop}1111").roles("USER").build();
UserDetails db = User.withUsername("db").password("{noop}1111").authorities("ROLE_DB").build();
UserDetails admin = User.withUsername("admin").password("{noop}1111").roles("ADMIN","SECURE").build();
return new InMemoryUserDetailsManager(user, db, admin);
}
}필터에 직접 RequestMatcherDelegatingAuthorizationManager를 넣는 방식으로 개선해 봤습니다
처음에는 RequestMatcherDelegatingAuthorizationManager -> RequestMatcherDelegatingAuthorizationManager 구조로 바꾸려고 했는데
access()에는 AuthorizationManager<RequestAuthorizationContext>만 가능해서
AuthorizationManager<HttpServletRequest>인
RequestMatcherDelegatingAuthorizationManager를 바로 못 넣더라구요
그래서 필터를 생성하고 필터 생성자로 RequestMatcherDelegatingAuthorizationManager를 넣는 방식을 사용했습니다
답변 1
0
안녕하세요, 인프런 AI 인턴입니다. bae jewoo님께서 스프링 시큐리티의 필터 구성에 대해 구조를 개선하신 것 같네요. 필터에 직접 RequestMatcherDelegatingAuthorizationManager를 사용하여 요청 매처 기반 접근 제어를 구성하신 방법이 인상적입니다.
이 방식은 각 URL 패턴에 대해 개별 권한을 정의하고 AuthorizationFilter를 통해 효과적으로 이를 적용할 수 있는 유용한 방법입니다. 각 RequestMatcherEntry를 사용하여 특정 역할 권한 검사를 설정하셨고, 마지막에 모든 요청에 대해 기본적으로 인증된 사용자만 접근하도록 설정하신 것으로 보입니다.
관련 논의는 아래 URL에서 찾아보실 수 있습니다:
위 링크에서는 Spring Security 6 버전 이상의 다중 보안 설정에 관한 내용을 논의하고 있으며, 새로운 보안 설정 기법에 대해 자세한 설명을 제공하고 있습니다. 이러한 방법을 적용하면, 스프링의 최신 보안 기능들을 활용하여 보다 견고한 보안 설정을 할 수 있습니다.
저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다.
현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏
추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.
로그아웃-logout()-2 강에서 겟방식 로그아웃 호출 후 화면이동 질문입니다.
0
34
2
단원별 소스코드
0
63
2
CustomAuthenticationProvider 추가 관련 문의
0
77
2
AOP 의존성 명칭 변경
0
73
1
빈 1개 등록 시 다른 해결 방법
0
70
1
@Bean으로 AuthenticationProvider를 등록 시 http.authenticationProvider 함수를 이용해서 추가해줘야되나요?
0
87
2
OIDC의 id token에 담긴 데이터에 대해
0
78
1
loginPage("/loginPage") 질문드립니다.
0
69
1
@EnableWebSecurity
0
148
1
트랜잭션과 롤백
0
99
1
68. 인증 이벤트 - AuthenticationEventPublisher 활용 강좌 음성 문제
0
91
2
AuthenticationManager 사용 방법
0
153
2
HttpSecurity.authorizeHttpRequests() - 2 강의 부분에 대한 질문
0
108
2
spring security 6.3에서는 HttpSecurity가 만들어지기 전 WebSecurity가 먼저 만들어지는게 맞나요??
0
191
1
init(B Builder), configure(B builder) 에 대하여 질문 드립니다.
0
109
2
메타 주석 질문
0
69
1
동시세션제어 기능에서 로그아웃하기
0
150
3
로그인 후, redirect 에서 error
0
139
3
Session 생성 타이밍에 대한 질문
0
86
2
강의 참고 내용을 개발 로그로 작성해도 될지 문의드립니다.
0
135
2
customAuthentication 관련
0
132
2
authenticationManagerBuilder 주입받은거 vs 만든 거
0
114
1
UserDetailsService()에서 UserDetail이 아닌 타입을 반환할 수 있나요?
0
101
1
9:28 패턴 3의 경우 마지막으로 설정한 것만 적용되는 것 같습니다.
0
162
2