작성자 없음
작성자 정보가 삭제된 글입니다.
작성
·
570
2
안녕하세요, 코드 하나하나 뜯어보면서 디테일한 부분에서 많이 공부하고 있습니다.
TokenProvider에서 byte[] keyBytes = Decoders.BASE64.decode(secret);로 바이트배열을 생성한 다음 키를 생성하는데요,
jwt.secret은 silvernine-tech-spring ~ 이 터미널 기본 chartset인 utf-8으로 바이트로 바뀌고 바이트가 다시 base64로 인코딩되어 Yml파일에 저장되는데요, provider에서 주입받은 secret을 base64로 다시 디코딩해서 사용하는 이유가 궁금합니다.
그냥 yml에 secret을 silvernine-tech-spring ~ 놔둔 상태로 주입받아서 utf-8으로 바이트로 바꾸고 키 생성을 해도 같은 결과이지 않을까요?
그리고 생성자가 아닌 DI 이후에 afterpropertyset을 이용해 key를 설정하는 이유도 궁금합니다.
답변 1
0
안녕하세요 kkkh0712님!
말씀하신데로 "키를 인코딩 하지않고 사용" and "생성자에서 key를 설정" 하셔도 기능상 큰 문제는 없을 것으로 생각됩니다. :)
다만, 저도 참고했던 코드에서 해당 내용들에 대해 kkkh0712님과 유사한 고민을 했었고 키 문자열이 그대로 application.yml에 노출되는 것이 신경이 쓰였었고, 키 설정 부분이 명시적으로 afterPropertiesSet() 시점에 설정되는 것이 좋지 않을까라고 생각되었기 때문입니다.
안녕하세요 kkkh0712님! 죄송합니다 댓글로 재 질문해주신 것을 지금 보았네요 너무 늦게 답변드려 죄송합니다. .
hasRole, hasAnyRole 등을 사용하여 WebSecurityConfigurerAdapter를 extends한 클래스에서 설정하는 방법과
@PreAuthorize 등의 메소드 어노테이션을 사용하는 방법
두 가지를 어떻게 사용하면 좋을지 고민이신거죠?
hasRole은 아래와 같이 ant pattern을 이용할 수 있어서 해당 패턴의 URL들을 일괄로 권한 설정을 할 수 있는 장점이 있고
http .authorizeRequests()
.antMatchers("/resources/**", "/signup", "/about").permitAll()
.antMatchers("/users/**").hasRole("ADMIN") .antMatchers("/db/**").access("hasRole('ADMIN') and hasRole('DBA')")
@PreAuthorize 는 해당 메소드에 명시적으로 걸 수 있어서 개발자가 명확히 인지할 수 있는 장점이 있는 것 같습니다.
룰 없이 여러가지를 복합적으로 쓴다면 유지보수가 어려워지는 코드가 될 수 있으니 어떻게 나눠라 라는 정답은 없지만 일정한 룰을 가지고 명확히 나눠서 쓰시면 더욱 좋을 것 같고요.
그냥 참고삼아 말씀드리면 개인적으로는 실무에서 왠만하면 어느 한가지로 통일해서 쓰는 방향으로 유도를 하고 있습니다.
감사합니다. 정말 코드하나하나 보면서 많이 배우고 있습니다. 한가지 더 질문드리자면 Authorization을 어떤 부분에서 config에서 hasrole로 처리하고 다른 어떤 부분은 메서드 시큐리티 (@PreAuthorize나 @Secured)로 처리하는게 좋을까요?