실전 프로젝트 - 인증 프로세스 Form 인증구현 8) 인증 부가 기능 시크릿 키 관련 오류 질문입니다.

Question

secret_key 키가 다르고 예외도 정상적으로 들어가 지는데 로그인이 정상적으로 작동합니다. 여러 방법으로 고쳐보다가 전혀 이유를 알 수가 없어 이렇게 질문 남깁니다. 아 비밀번호 예외 처리는 정상적으로 작동합니다. 혹시 아래 캡쳐 소스가 부족하실 경우 깃허브 주소 Othkkartho/SpringSecurityLearn: 스프링 시큐리티 인프런 강의에 실전 프로젝트를 직접 해보는 프로젝트입니다. ( github.com ) 의 branches ch3.8이 현재 오류가 난 코드입니다. 좋은 강의 감사드립니다. CustomAuthenticationProvider.java providermanager.java

정수원 · Answer

네 제가 테스트 해보니까 이전 버전과 약간 다른 점이 있는 것 같습니다. 이전 버전에서는 CustomAuthenticationProvider 를 만들게 되면 ProviderManager 의 parent 속성에 DaoAuthenticationProvider 가 생성되지 않은 것으로 알고 있는데 지금은 내부 로직이 약간 달라져서 parent 속성에 DaoAuthenticationProvider 가 생성되는 바람에 CustomAuthenticationProvider 에서 예외를 던지더라도 ProviderManager 에서 예외를 잡기는 하지만 parent 속성에 있는 DaoAuthenticationProvider 를 다시 호출해서 인증처리를 하고 있습니다. DaoAuthenticationProvider 는 아이디와 패스워드만 일치하면 인증처리가 되기 때문에 CustomAuthenticationProvider 의 결과에 상관없이 인증이 성공하게 됩니다. 그래서 이같은 경우에 다음과 같이 처리를 해야 할 것 같습니다. @Bean public SecurityFilterChain filterChain(HttpSecurity http) throws Exception { AuthenticationManagerBuilder authenticationManagerBuilder = http.getSharedObject(AuthenticationManagerBuilder.class); authenticationManagerBuilder.authenticationProvider(authenticationProvider()); authenticationManagerBuilder.parentAuthenticationManager(null);   위 코드에서 authenticationManagerBuilder.parentAuthenticationManager(null); 로 하면 ProviderManager 의 parent 속성을 제거해서 DaoAuthenticationProvider 가 다시 실행하지 않도록 합니다. 물론 이 방법이 최선일지는 잘 모르겠지만 이전버전과 구조가 달라진 부분으로 발생한 거라서 가장 효율적인 방안을 계속 찾아나가야 할 듯 합니다.