생성한 FilterSecurityInterceptor 에 권한 정보가 매핑되지 않는 이유
834
작성한 질문수 12
안녕하세요. 19분 설명해주시는 부분에서 의문점이 생겨서 질문드립니다.
저희가 설정한 customFilterSecurityInterceptor 는 다음과 같습니다.
@Bean
public FilterSecurityInterceptor customFilterSecurityInterceptor() throws Exception {
FilterSecurityInterceptor filterSecurityInterceptor = new FilterSecurityInterceptor();
filterSecurityInterceptor.setSecurityMetadataSource(filterInvocationSecurityMetadataSource());
filterSecurityInterceptor.setAccessDecisionManager(affirmativeBased()); // 가장 많이하는 ADM을 세팅해준다.
filterSecurityInterceptor.setAuthenticationManager(authenticationManagerBean());
return filterSecurityInterceptor;
}
똑같은 FilterSecurityInterceptor 를 선언해 필요한 설정들만 custom 객체들로 넣어준 후 반환해주는 형식입니다.
그리고 설정해준 authorization url 경로 설정들은 다음과 같았습니다.
http
.authorizeRequests()
.antMatchers("/mypage").hasRole("USER")
.antMatchers("/messages").hasRole("MANAGER")
.antMAtchers("/config").hasRole("ADMIN")
.anyRequest().authenticated()
.and()
.addFilterBefore(customFilterSecurityInterceptor(), FilterSecurityInterceptor.class)이 때, 저희가 적용한 필터를 먼저 끼워준다고 해서 왜 권한 정보들을 못받아오는지 궁금합니다.
서버 기동시 ExpressionBasedFilterInvocationSecurityMetadataSource.class 에서 설정한 권한 URL 정보들을 Meta-data로 저장한다고 설명해주셨습니다. 하지만 이 부분에서 "이 시점에 FilterSecurityInterceptor Bean" 에 이 requestMap metadata를 넣어주는 것도 아닌 것 같아보이는데 왜 못받아오는지 궁금합니다!
이 requestMap 을 받아오는 것을 수행하는게 FilterInvocationSecurityMetadataSource.class 인 것 같은데, DefaultFilter~Source.class를 봐도 결국 생성자에서 주입받는 것 같습니다.
public DefaultFilterInvocationSecurityMetadataSource(
LinkedHashMap<RequestMatcher, Collection<ConfigAttribute>> requestMap) {
this.requestMap = requestMap;
}이 클래스 생성이 어디에서 되는지는 모르겠지만, 결국 저장된 METADATA를 어디에서 생성후 여기에 넣어주는 것 아닐까요? 그럼 저희가 만든 Url~MetaDataSource.class 도 생성자 주입을 통해서 넣어줄 수 있는 것 아닐까요?
또한, CustomUrlFilterInvocationSecurityMetadataSource 를 왜 만드셨는지 조금 궁금합니다! 이전 프로젝트였던 Ajax Authentication 같은 경우는 기존 FormLogin 과는 다르게 설정할 부분이 있었고, AccountContext와 같이 앱 내에서의 멤버 객체와 Security를 연동해주는 과정이 따로 필요해서 Token, Provider 등을 커스텀화하는 것이 이해가 되었습니다. 또한 추후 Token 구현 같은 것을 할 때도 참고가 정말 많이 되는 것 같았습니다.
하지만 이 Filter 같은 경우는 그냥 기존에 하는 역할 똑같이 수행하는 것 같은데, 왜 Custom 화 한 클래스가 따로 생성이 필요한지 궁금합니다! 별 다른 의도가 아니라 Custom Class를 만들어 보면서 Authorization 과정을 눈으로 보면서 이해해보기 위함일까요?
답변 1
0
1번 2번 질문이 연관되어서 같이 답변을 드리도록 하겠습니다.
customFilterSecurityInterceptor() 를 생성한 이유는
filterSecurityInterceptor.setSecurityMetadataSource(filterInvocationSecurityMetadataSource()); 에서 별도의 커스텀한 SecurityMetadataSource 클래스를 만들어 설정하기 위함입니다.
즉 filterInvocationSecurityMetadataSource() 는 CustomUrlFilterInvocationSecurityMetadataSource 를 생성하는 건데 이 클래스가
ExpressionBasedFilterInvocationSecurityMetadataSource 클래스를 대체해서 권한을 체크하게 됩니다.
그렇게 되면 더이상
.antMatchers("/mypage").hasRole("USER")
.antMatchers("/messages").hasRole("MANAGER")
.antMAtchers("/config").hasRole("ADMIN")위의 코드는 실행이 되지 않고 CustomUrlFilterInvocationSecurityMetadataSource 클래스에서 구현한 권한 로직이 실행되게 됩니다.
결론적으로 CustomFilterSecurityInterceptor 를 생성한 이유는 ExpressionBasedFilterInvocationSecurityMetadataSource 를 실행하지 않고 CustomUrlFilterInvocationSecurityMetadataSource 를 실행하기 위해서이고 이 클래스는 DB 와 연동해서 권한을 체크하는 역할을 담당하게 됩니다.
강의를 보시면 제가 위의 내용을 자세하게 설명하고 있습니다.
시큐리티 공부 버전 질문
0
176
1
[해결 방법] MethodSecurityConfig.customMethodSecurityMetadataSource() 호출하지 않는 이슈
0
187
1
AbstractSecurityInterceptor.class.beforeInvocation()를 2번 실행하는 경우
0
179
1
강의 코드가 왜이렇게 뒤죽박죽인가요...
0
253
1
메인 페이지로 접속해도 login url로 리다이렉트가 되지 않습니다..
0
238
1
파라미터값이 넘어가지 않습니다 ....
0
375
1
security filterChain 설정 질문이 있습니다.
0
332
1
소스 부분 질문 드립니다.
0
210
2
섹션4 7번 강의 문제가 있는거 같네요.
0
345
2
파일이 수시로 이름이 바껴있네요 ㄷㄷ
0
306
1
HttpSessionSecurityContextRepository를 사용안하는 문제
0
557
2
error , exception 이 잘 안됩니다.
0
284
2
thymeleaf tag 질문합니다.
0
198
2
버전업하면서 deprecated된 것들이 너무많아요
0
478
1
spring security 패치 관련
0
437
1
모바일을 사용할때 토큰말고 세션
0
850
2
DB 연동한 인가 부분에 대한 질문입니다!
0
265
1
Ajax방식도 똑같이 Session방식을 사용하는건가요?
0
308
1
Config 파일 생성 시 질문이 있습니다.
0
228
1
강사님 몇일동안 구글 검색만 100개 했는데도 이유를 모르겠습니다..
1
433
2
403 에러 뜹니다.
0
813
2
login_proc의 존재에 대한 간략한 설명입니다
0
277
1
top.html에 로그인 링크를 만들어서 로그인을 해봤습니다
0
287
2
안녕하세요. DB에 저장될 때 이해 안 가는 값이 있어서 질문드립니다!
0
191
1