AjaxAuthenticationProvider 관련 질문
397
작성한 질문수 16
현재 AjaxAuthenticationProvider를 구현하면서 저는 UserDetailsService, PasswordEncoder를 생성자 주입을 통해서 구현하였습니다.
그리고 AjaxSecurityConfig는 다음과 같이 설정하였습니다.
@Configuration
@EnableWebSecurity
@RequiredArgsConstructor
@Order(1)
public class AjaxSecurityConfig {
private final PasswordEncoder passwordEncoder;
private final UserDetailsService userDetailsService;
@Bean
public AuthenticationProvider ajaxAuthenticationProvider() {
return new AjaxAuthenticationProvider(userDetailsService, passwordEncoder);
}
@Bean
public AuthenticationManager ajaxAuthenticationManager() throws Exception {
return new ProviderManager(ajaxAuthenticationProvider());
}
@Bean
AjaxAuthenticationFilter ajaxAuthenticationFilter() throws Exception {
AjaxAuthenticationFilter ajaxAuthenticationFilter = new AjaxAuthenticationFilter();
ajaxAuthenticationFilter.setAuthenticationManager(ajaxAuthenticationManager());
return ajaxAuthenticationFilter;
}
@Bean
SecurityFilterChain ajaxAuthenticationSecurityFilterChain(HttpSecurity http) throws Exception {
http
.antMatcher("/api/**")
.authorizeRequests()
.anyRequest().authenticated();
http.addFilterBefore(ajaxAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class);
http.csrf().disable();
return http.build();
}
}
여기서 UserDetailsService, PasswordEncoder는 제가 따로 만든 CommonSecurityConfig상에 빈으로 등록을 해놓은 상태이고요
여기서 질문드릴 부분은 제가 AuthenticationManager에 대해서 AuthenticationProvider를 등록하기 위해서 위와 같은 구조로 구현을 하였고 이외의 방법으로도 많이 해보았지만 전부 AjaxAuthenticationProvider가 Manager에 등록되지 않고 그에 따라서 실제 인증을 처리할 때 AjaxAuthenticationProvider를 통해서 수행하지 못해서 401 응답이 발생합니다.
그리고 저 상태에서 ProviderManager의 getProviders for문을 돌리는 부분에 브레이킹 포인트를 걸고 Provider 종류를 보았는데 AjaxAuthenticationProvider만 있는 것을 확인할 수 있습니다.
이 부분은 당연히 제가 new ProviderManager(ajaxAuthenticationProvider())로 설정했기 때문에 위와 같은 결과가 도출되었다고 판단하고 있습니다.
Spring Boot 버전은 2.7.3이고 기존 강의에서 설정한 방식과 많이 달라졌는데 혹시 위의 방법이 최선인지 여쭤보고 싶습니다.
제 생각에는 제가 새로운 security 버전을 완벽하게 알지못해서 더 나은 방법을 못찾고 있다고 생각합니다
일단 위와같이 구현을 하면 ajax login request가 정상적으로 응답이 되긴합니다.
답변 1
0
네
사실 이 부분은 저도 테스트 하면서 이전 버전과의 차이점을 보고 있는 중입니다.
초기화 과정을 보면 ProviderManager 에서 AuthenticationProvider 를 구성할 때 여러 조건에 의해 설정을 하게 되는데 이전버전에서는 사용자가 커스텀하게 AuthenticationProvider 를 생성해서 추가하게 되면 사용자가 정의한 AuthenticationProvider 가 우선적으로 실행이 되도록 기본 구성이 되었는데 현재 버전에서는 그렇지 않고 시큐리티 내부적으로 생성되는 DaoAuthenticationProvider 가 우선적으로 실행되도록 구성이 되고 있습니다.
물론 이것도 사용자 정의를 어떻게 하느냐에 따라 달라지기도 합니다.
스프링 시큐리티 개발팀에서 이 부분을 명확하고 정확하게 가이드 해 주어야 할 것 같은데 아직까지는 현 상황에 대한 개선이 이루어지지 않는 것 같습니다.
일단 위의 코드 부분은 이렇게 변경해서 실행해 보시기 바랍니다.
@Bean
public AuthenticationManager authenticationManager(AuthenticationConfiguration authenticationConfiguration) throws Exception {
ProviderManager authenticationManager = (ProviderManager) authenticationConfiguration.getAuthenticationManager();
authenticationManager.getProviders().add(ajaxAuthenticationProvider());
return authenticationManager;
}
만약 오류가 나타나거나 정상적으로 동작하지 않을 경우 전체 소스를 공유 해 주시면 제가 테스트 해 보도록 하겠습니다.
0
올려주신 코드대로 하니까 ProviderManager에 AjaxAuthenticationProvider가 추가적으로 등록됨을 확인했고 인증도 정상적으로 이루어집니다. 감사합니다.
시큐리티 공부 버전 질문
0
177
1
[해결 방법] MethodSecurityConfig.customMethodSecurityMetadataSource() 호출하지 않는 이슈
0
187
1
AbstractSecurityInterceptor.class.beforeInvocation()를 2번 실행하는 경우
0
179
1
강의 코드가 왜이렇게 뒤죽박죽인가요...
0
254
1
메인 페이지로 접속해도 login url로 리다이렉트가 되지 않습니다..
0
238
1
파라미터값이 넘어가지 않습니다 ....
0
376
1
security filterChain 설정 질문이 있습니다.
0
332
1
소스 부분 질문 드립니다.
0
210
2
섹션4 7번 강의 문제가 있는거 같네요.
0
345
2
파일이 수시로 이름이 바껴있네요 ㄷㄷ
0
306
1
HttpSessionSecurityContextRepository를 사용안하는 문제
0
557
2
error , exception 이 잘 안됩니다.
0
284
2
thymeleaf tag 질문합니다.
0
198
2
버전업하면서 deprecated된 것들이 너무많아요
0
478
1
spring security 패치 관련
0
438
1
모바일을 사용할때 토큰말고 세션
0
852
2
DB 연동한 인가 부분에 대한 질문입니다!
0
265
1
Ajax방식도 똑같이 Session방식을 사용하는건가요?
0
308
1
Config 파일 생성 시 질문이 있습니다.
0
228
1
강사님 몇일동안 구글 검색만 100개 했는데도 이유를 모르겠습니다..
1
433
2
403 에러 뜹니다.
0
813
2
login_proc의 존재에 대한 간략한 설명입니다
0
277
1
top.html에 로그인 링크를 만들어서 로그인을 해봤습니다
0
288
2
안녕하세요. DB에 저장될 때 이해 안 가는 값이 있어서 질문드립니다!
0
191
1