중복 정의된 SecurityController `/login`과 Security 기본제공 `/login`이 호출되는 원리 질문입니다

Question

강의 예제 시연 때 아래와 같이 정의된 상태에서 EntryPoint 핸들러를 주석처리를 하셨지요 SecurityController.java @RestController public class SecurityController { @GetMapping ( "/login" ) public String login () { return "'/login' - 개발자가 작성한 Login 페이지 " ; } } SecurityConfig.java http // 인증 / 인가 예외처리 . exceptionHandling () // .authenticationEntryPoint((request, response, ex) -> { // // 인증 실패 후 재인증요구 처리 : AuthenticationEntryPoint.commence() method // response.sendRedirect("/login");// 게빌자 제공 로그인 페이지로 이동 설정 // }) 주석 처리 이후에는 S.Security 기본제공 `/login` URI 가 호출 되었구요, 주석 처리 이전에는 개발자가 작성한 Controller `/login ` URI 가 호출이 되었습니다. 결과를 통해 추론 해보면, Spring Security 의 기본 제공 컨트롤러 구현체가 존재한다는 것을 알게 되었습니다 질문입니다 EntryPoint 핸들러를 주석처리 하자마자 개발자 정의 Controller 에 선언된 /login URI 는 Spring Security 기본제공 컨트롤러 /login URI 에게 우선순위가 밀려 호출이 되지 않는것 같습니다. 왜 개발자가 정의한 Controller 에 /login 이 우선처리 되지 않고, EntryPoint 핸들러를 통해 sendRedirect( /login ) 처리로만 이동이 가능한건지 원리가 궁금합니다. 혹시 sendRedirect 가 최우선순위로 호출되는 것이라는 단순한 이유일까요? 읽어주셔서 감사합니다

정수원 · Answer

네 AuthenticationEntryPoint 클래스는 로그인 실패시 호출되는데 이 클래스에서 비즈니스 로직을 구현하게 됩니다. 일반적으로 인증을 다시 시도할 수 있는 로그인 경로로 이동하게끔 구현합니다. 그렇기 때문에 AuthenticationEntryPoint 에서는 SecurityController 에서 정의한 @GetMapping("/login") 로 이동하는 로직을 구현했기 때문에 해당 메소드를 호출하게 됩니다. 만약 AuthenticationEntryPoint 를 구현하지 않으면 스프링 시큐리티가 기본적으로 제공하는 login 화면으로 이동하게 됩니다. 즉 AuthenticationEntryPoint 를 통해 login 경로로 이동하도록 구현했다면 이를 받을 수 있는 Controller 를 구현해서 @GetMapping("/login") 와 같은 메소드를 정의해야 합니다. 그렇지 않으면 스프링 시큐리티의 기본 화면으로 이동하게 됩니다. 감사합니다.