h2-console을 위해 configure 메서드를 오버라이딩하는 부분에 대해

Question

SecurityConfig.java 의 configure 메서드에서 첫 줄이 없어도 h2-console에 잘 접근하네요. @Override protected void configure (HttpSecurity http) throws Exception { // http.authorizeRequests().antMatchers("/h2-console/**").permitAll(); http.csrf().disable() ; http.headers().frameOptions().disable() ; } 제가 강의를 따라하며 예상한 동작은 h2-console 이외의 API 요청은 기존처럼 아이디와 패스워드를 필요로 하고, h2-console은 위의 옵션을 넣었기 때문에 자유롭게 사용할 수 있겠구나라고 생각했었는데요. 해당 옵션 추가 후 다른 API로 요청에도 아이디와 패스워드를 필요로 하지 않아서 의문을 가지게 되었어요. 조금 살펴보니 SecurityConfig의 부모 클래스인WebSecurityConfigurerAdapter 의 configure 메서드에 기존의 설정이 있는데 (모든 요청에는 인증이 필요하고, 로그인 폼을 띄우고) 오버라이딩했기 때문에 해당 설정 부분이 날아가 버렸다고 추측해요. WebSecurityConfigurerAdapter.java 의 configure 메서드 protected void configure (HttpSecurity http) throws Exception { this . logger .debug( "Using default configure(HttpSecurity). If subclassed this will potentially override subclass configure(HttpSecurity)." ) ; http.authorizeRequests((requests) -> { ((AuthorizedUrl)requests.anyRequest()).authenticated() ; }) ; http.formLogin() ; http.httpBasic() ; } 따라서 저처럼 다른 API로의 요청은 인증을 거치게 하고 싶으면 추가로 다른 옵션들을 넣어줘야 합니다. http.authorizeRequests() .antMatchers( "/h2-console/**" ).permitAll() .anyRequest().authenticated() ; // 허용하지 않은 API는 인증이 필요 * 다른 분들은 혼동이 오지 않으셨을 수도 있지만, 저는 헷갈렸고 비슷하게 생각하는 학생들도 있지 않을까 해서 남겨놉니다. 혹시 잘못된 정보가 있으면 댓글로 알려주세요 😉

Dowon Lee · Answer

안녕하세요, 이도원입니다. 말씀하신 것 처럼 인증을 거치지 않게 하기 위해 permitAll 을 지정하실 수 있으며, 그외 요청에 대해 인증을 거치게 하기 위해서는 authenticated를 사용하시면 됩니다. 정보 공유해 주셔서 감사합니다. 새해 복 많이 받으세요.