2021-02-26T13:30:14.977Z

0

감사합니다. 정말 코드하나하나 보면서 많이 배우고 있습니다. 한가지 더 질문드리자면  Authorization을 어떤 부분에서 config에서 hasrole로 처리하고 다른 어떤 부분은 메서드 시큐리티 (@PreAuthorize나 @Secured)로 처리하는게 좋을까요?

0

안녕하세요 kkkh0712님! 죄송합니다 댓글로 재 질문해주신 것을 지금 보았네요 너무 늦게 답변드려 죄송합니다. .

hasRole, hasAnyRole 등을 사용하여 WebSecurityConfigurerAdapter를 extends한 클래스에서 설정하는 방법과

@PreAuthorize 등의 메소드 어노테이션을 사용하는 방법 

두 가지를 어떻게 사용하면 좋을지 고민이신거죠?

hasRole은 아래와 같이 ant pattern을 이용할 수 있어서 해당 패턴의 URL들을 일괄로 권한 설정을 할 수 있는 장점이 있고 

http .authorizeRequests()

.antMatchers("/resources/**", "/signup", "/about").permitAll()
.antMatchers("/users/**").hasRole("ADMIN") .antMatchers("/db/**").access("hasRole('ADMIN') and hasRole('DBA')")

@PreAuthorize 는 해당 메소드에 명시적으로 걸 수 있어서 개발자가 명확히 인지할 수 있는 장점이 있는 것 같습니다.

룰 없이 여러가지를 복합적으로 쓴다면 유지보수가 어려워지는 코드가 될 수 있으니 어떻게 나눠라 라는 정답은 없지만 일정한 룰을 가지고 명확히 나눠서 쓰시면 더욱 좋을 것 같고요. 

그냥 참고삼아 말씀드리면 개인적으로는 실무에서 왠만하면 어느 한가지로 통일해서 쓰는 방향으로 유도를 하고 있습니다.