인프런 커뮤니티 질문&답변
작성한 질문수
h2-console을 위해 configure 메서드를 오버라이딩하는 부분에 대해
작성
·
384
2
SecurityConfig.java 의 configure 메서드에서 첫 줄이 없어도 h2-console에 잘 접근하네요.
@Override
protected void configure(HttpSecurity http) throws Exception {
// http.authorizeRequests().antMatchers("/h2-console/**").permitAll();
http.csrf().disable();
http.headers().frameOptions().disable();
}
제가 강의를 따라하며 예상한 동작은 h2-console 이외의 API 요청은 기존처럼 아이디와 패스워드를 필요로 하고, h2-console은 위의 옵션을 넣었기 때문에 자유롭게 사용할 수 있겠구나라고 생각했었는데요. 해당 옵션 추가 후 다른 API로 요청에도 아이디와 패스워드를 필요로 하지 않아서 의문을 가지게 되었어요.
조금 살펴보니 SecurityConfig의 부모 클래스인WebSecurityConfigurerAdapter 의 configure 메서드에 기존의 설정이 있는데 (모든 요청에는 인증이 필요하고, 로그인 폼을 띄우고) 오버라이딩했기 때문에 해당 설정 부분이 날아가 버렸다고 추측해요.
WebSecurityConfigurerAdapter.java 의 configure 메서드
protected void configure(HttpSecurity http) throws Exception {
this.logger.debug("Using default configure(HttpSecurity). If subclassed this will potentially override subclass configure(HttpSecurity).");
http.authorizeRequests((requests) -> {
((AuthorizedUrl)requests.anyRequest()).authenticated();
});
http.formLogin();
http.httpBasic();
}
따라서 저처럼 다른 API로의 요청은 인증을 거치게 하고 싶으면 추가로 다른 옵션들을 넣어줘야 합니다.
http.authorizeRequests()
.antMatchers("/h2-console/**").permitAll()
.anyRequest().authenticated(); // 허용하지 않은 API는 인증이 필요
* 다른 분들은 혼동이 오지 않으셨을 수도 있지만, 저는 헷갈렸고 비슷하게 생각하는 학생들도 있지 않을까 해서 남겨놉니다. 혹시 잘못된 정보가 있으면 댓글로 알려주세요 😉
답변 1
1
안녕하세요, 이도원입니다.
말씀하신 것 처럼 인증을 거치지 않게 하기 위해 permitAll 을 지정하실 수 있으며, 그외 요청에 대해 인증을 거치게 하기 위해서는 authenticated를 사용하시면 됩니다. 정보 공유해 주셔서 감사합니다.
새해 복 많이 받으세요.