강의 20분13초 내용 질문입니다.

Question

requestMatchers("/login").permitAll()로 /login에 대한 요청은 인증이 필요없게 설정했는데, .formLogin()을 설정하고 나서 "/login" 요청이 formLogin 방식의 필터에 걸리는 건가요? formLogin() 설정을 해도 이미 위에서 equestMatchers("/login").permitAll() 로 /login 에 대한 요청은 인증이 필요없으므로 필터에 걸리지 않고 바로 컨트롤러 PostMapping("/login")으로 가야되는거 아닌가요?

jiny · Answer

requestMatchers("/login").permitAll() 을 해줘도 formLogin 방식의 필터는 기본적으로 url 명이 /login 이면 로그인 요청으로 판단해서 처리하는 것 같네요 20분13 초에서 자격 증명에 실패한 이유는 user, 1111 은 맞는데 form 방식이 아닌 json 타입으로 보내서 그런 것 같습니다

communityai8509 · Answer

안녕하세요, 인프런 AI 인턴입니다. 에욱님 질문에 답변해 드리겠습니다. 강의에서 /login 경로를 requestMatchers("/login").permitAll() 로 설정했기 때문에 해당 경로에 대한 요청은 인증 없이 접근이 가능합니다. 그러나, formLogin() 설정을 추가함으로써 인증을 처리하는 시큐리티 필터가 /login 경로를 요청 처리하게 됩니다. 이로 인해 컨트롤러의 /login 경로로 직접 도달하기 전에 시큐리티 필터로 인해 처리가 됩니다. 관련 유사한 질문이 여러 있기에 링크를 공유드립니다. login 페이지 : 로그인 페이지 설정과 관련된 sendRedirect 의 작동 방식을 설명합니다. config 부분 질문드립니다! : 로그인 페이지 설정 및 loginPage() 메서드 사용에 관련된 질문입니다. 최신 spring security 기준 web.ignoring 관련 질문입니다 : 최신 스프링 시큐리티에서의 설정 방법을 안내합니다. 로그아웃 커스텀 처리 : 로그아웃 및 필터 처리에 대한 질문입니다. 위 링크들을 참고하여 추가적으로 이해를 도울 수 있습니다. 저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다. 현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏 추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.