PermitAllFilter VS web.ignoring() 에 관한 질문입니다.

Question

안녕하세요 강사님. 좋은강의 감사드립니다. 예제를 구현하기 이전에 java/resource/static/** 자원들에 대한 permit 설정을 아래와 같이 미리 해두었습니다 @Override public void configure ( WebSecurity web ) throws Exception { web // `/resource/` 내부 static, templates 등의 정적자원들을 " 보안필터링 없이 외부공개 " . ignoring () . antMatchers ( "/js/**" , "/css/**" , "/images/**" ) . requestMatchers ( PathRequest . toStaticResources () . atCommonLocations ()) ; } 이렇게 설정을 마친 후, PermitAllFilter 와 permitAllUrls  구현 하고나서 확인이 되는 부분은 이렇습니다. FilterSecurityInterceptor 에서 PermitAllFilter 에서 걸러내지 못한 정적자원에 대한 permitAll 검사를 시도합니다.  `js/**, images/**, css/**` 등등.. ( permitAllUrls 에 경로를 추가 시키면 permit 처리가 잘 됩니다 ) 질문입니다 Security 기본제공 기능보다 PermitAllFilter 를 구현함으로 얻는 장점과, Security 기본 permitAll 기능인 web.ignoring() 의 한계점이 궁금합니다. 읽어주셔서 감사드립니다.

정수원 · Answer

네 PermitAllFilter 를 구현해서 사용하는 이유는 두가지입니다. 첫째는 스프링 시큐리티의 인증, 인가 처리가 필터기반으로 동작하기 때문에 인가를 거치지 않아도 되는 자원을 필터링하는 기능도 필터기반으로 처리함으로써 전반적으로 일관성과 통일성을 가져다 주는 이점이 있습니다. 두번째는 강의에서 설명드리고 있는 내용입니다. 즉 스프링 시큐리티에서 인가를 처리하는 과정은 조금 복잡하고 여러 단계를 거치게 됩니다. 그렇기 때문에 인가처리를 필요로 하지 않는 자원은 복잡한 인가 처리 과정을 거칠 필요가 없이 PermitAllFilter 에서 간단하게 처리할 수 있게 됩니다. 조금 더 단순해 지는 효과가 있습니다. 물론 대단한 장점이 있는 것은 아닙니다 그리고 정적자원에 대한 설정은 web .ignoring() 사용하는 것이 맞습니다. 이 기능은 스프링 시큐리티의 필터 처리를 모두 스킵하는 것으로서 PermitAllFilter 기능과 다릅니다. PermitAllFilter 기능은 필터는 거치되 인가처리를 하지 않도록 하는것이 목적입니다. 구분해서 이해하시면 됩니다.

정수원 · Answer

네 그런 의미도 포함됩니다   다만 인가처리로 넘어가 버리면 matches 로직 외의 것들에 대한 처리를 다 거치기 때문에 앞단에서 간단하게 matches 기능에만 집중할 수 있게 됩니다 마치 프록시 역할과 비슷하다고 보시면 되겠습니다

hyeon · Answer

PermitAllFilter를 생성함으로써 인가를 거쳐야 하는 자원에 대한 요청들은 불필요한 부가 matches연산을 거치게 되는데 이는 PermitAllFilter가 없을 때의 인가가 불필요한 자원들이 불필요한 matches연산을 거치는 것과 결국 똑같은 것이 아닌지 궁금합니다.
인가 처리 이전 화이트리스트가 존재한다는 것의 의의가 큰 것일까요?