인프런 커뮤니티 질문&답변
작성한 질문수
권한정보가 null일 경우
작성
·
287
1
자원 접근이 허용된다는 것은 root권한자만 해당되는 분기인가요..? 보안에 좋지 않을거 같아 여쭤봅니다
답변 1
6
정수원
지식공유자
네
자원에 대한 권한정보가 null 이라는 의미는 자원에 대한 아무런 권한설정을 하지 않은 것이라 볼 수 있습니다
자원에 대한 권한설정 자체가 없기 때문에 어느 누구라도 해당 자원에 접근이 가능하게 됩니다.
스프링 시큐리티는 사용자가 해당 자원에 접근할 경우 먼저 그 자원에 어떤 권한이 설정되어 있는지를 확인하고 만약 권한이 설정되어 있다면 현재 사용자가 자원에 설정된 권한과 동일하거나 그 보다 상위의 권한을 소유하고 있는지 검사하게 됩니다.
근데 자원에 아무런 권한이 설정되어 있지 않다면 스프링 시큐리티는 해당 자원은 권한 자체가 설정되어 있지 않기 때문에 권한 심사를 할 필요가 없다고 판단하게 됩니다.
이것은 마치 해당 자원에 접근하는 모든 사용자에게 permiAll 권한을 준 것과 동일한 결과를 가지게 됩니다.