inflearn logo
강의

Course
Instructor

Spring Boot Security & JWT Lecture

Spring Boot Security Lecture 24 - Attempting Login for JWT

SecurityConfig에서 세션 설정, 인가 설정

415

pababeradendo

14 asked

0

안녕하세요

세션0~세션3까지 왔습니다.

 

JWT들어가기 전에는 authorizeHttpRequests() 여기서 페이지 접근 제어를 하였는데

 

JWT들어가서는 sessionManagement() 여기에 접근 제어를 하셨는데

 

구글링을 해봐도 각기 다른 거 같습니다.

 

저는 일단 

// 세션 설정
http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)
        .and()
        .addFilter(corsConfig.corsFilter())
        .httpBasic().disable()
        .addFilter(new JwtAuthenticationFilter(authenticationManager));

// 인가(접근권한) 설정
http.authorizeHttpRequests()
        .antMatchers("/user/**").authenticated()
        .antMatchers("/manager/**").hasAnyRole("ADMIN", "MANAGER")
        .antMatchers("/admin/**").hasRole("ADMIN")
        .anyRequest().permitAll()
        .and()
        .formLogin().loginPage("/loginForm")
        .loginProcessingUrl("/login")
        .defaultSuccessUrl("/")
        .and()
        .oauth2Login().loginPage("/loginForm")
        .userInfoEndpoint()
        .userService(principalOauth2UserService)
;

이런식으로 하였는데

 

어떤게 맞는 것인지 잘 모르겠습니다.

 

 

spring spring-security jwt

Answer 1

0

communityai8509

안녕하세요, 인프런 AI 인턴입니다.

파바배라던도님의 질문과 유사한 상황에 대한 정보를 담고 있는 질문을 찾았습니다. 다루고 계신 SecurityConfig 설정에 관한 질문으로, 세션 관리(sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS))와 인가 설정(authorizeHttpRequests())에 대해 언급하고 있으며, JWT 사용 시의 적절한 설정 방법에 대한 궁금증을 제기하고 있습니다.

참고할 수 있는 질문

  • SecurityFilterChain에서 login 이후에 authenticated 인증 처리 오류?
    • 이 질문에서는 Spring Security와 JWT를 사용할 때 SecurityFilterChain 설정에 대한 문제를 다루고 있습니다. http.sessionManagement().sessionCreationPolicy(SessionCreationPolicy.STATELESS)와 같이 세션을 사용하지 않는 상태(STATELESS)로 설정하는 것과 접근 권한 설정에 대한 설명이 포함되어 있어 도움이 될 수 있습니다.
    • 질문으로는 직접적인 설정 코드의 비교가 아니지만, 세션과 인가 설정에 대한 광범위한 이해를 도울 수 있는 정보를 제공하고 있습니다.
    • 질문에 대한 답변 중 하나에서는 설정이 올바르게 되어 있음을 언급하면서도, 구체적인 권한 설정과 User 엔티티 확인이 필요함을 지적합니다. 이는 파바배라던도님의 설정에도 해당될 수 있어, 각 설정 항목의 영향을 이해하는 데 도움이 될 것입니다.

주어진 컨텍스트에서, 세션 관리를 STATELESS로 설정하는 부분은 JWT를 사용할 때 일반적으로 권장되는 방법입니다. 이는 서버가 세션 상태를 유지하지 않고 클라이언트가 전송하는 JWT를 통해 매 요청마다 사용자 인증을 수행하기 때문입니다. 인가 설정 부분(authorizeHttpRequests())은 접근 권한에 따라 구체적인 URL 패턴을 지정하여 보안을 강화하는 방식으로 적절히 사용되었습니다.

현재 세션 설정과 인가 설정 모두 적절히 구성된 것으로 보이며, 질문에서 언급하신 방법은 Spring Security와 JWT 사용 시 적절한 방법 중 하나로 볼 수 있습니다. 더 깊은 이해를 위해서는 Spring Security 공식 문서를 참고하는 것도 좋은 방법입니다.

저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다. 현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏

추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.

JWT를 구현한 다음 이 API를 호출해서 사용하는 것은 프론트엔드 쪽에서 하는 역할인가요?

0

94

1

Jwt쓰면 스프링시큐리티는 필수적으로 사용해야하나요?

0

401

1

13:23 system.out 출력문이 다르게 나옵니다.

0

129

1

수료증 문의

0

226

2

9분대에 질문이 있습니다 !

0

114

1

password 비교를 하지 않았는데 어떻게 인증이 통과된 건가요?

0

320

1

이전 강의 참고하라는 말씀

0

253

1

강의 실습하다가 막히는 분들 참고(2024년8월 기준)

2

1116

2

구글 소셜 로그인 302

0

200

1

오류 문의 _ org.springframework.orm.jpa.JpaSystemException: could not deserialize

1

584

1

[자바] 시큐리티 Config 참고

13

953

1

이론강의

0

280

1

SpringSecurity JWT 로그인 URL 2개 설정하는 방법

0

486

1

2024.06기준) 최근 SecurityConfig 설정 문의

0

921

3

구글 로그인시 authentication이 null 값이라고 에러가 발생합니다.

0

677

2

특정 url필터 거는 방법 이슈

0

422

1

강사님께서 말씀하시는 시큐리티세션이 SecurityContext인가요?

0

277

1

25강 마지막 테스트에서 오류

1

1044

2

jwt를 저장하는 위치에 궁금한 점이 있습니다.

0

298

1

mustache를 사용하지 않고 thymeleaf를 사용하려고 하는데

0

694

1

세션 인증방식이 REST 원칙에 위배되는 건가요?

0

337

1

jwt와 실제데이터의 관계

1

241

1

jwt 와 세션ID의 관계

1

310

1

섹션2 9강까지 듣고 질문이 있습니다. 스프링부트 버전을 다운그레이드해도 될까요?

0

393

1