메소드 기반 커스텀 AuthorizationManager 구현 관련 질문
299
작성한 질문수 24
안녕하세요 강사님
좋은 강의 감사드립니다.
해당 영상보면서 따라해보고 있는데 시큐리티 버젼이 달라서 그런건지 원인은 잘 알 수 없지만 @PreAuthorize(value="") 이렇게 설정하면 에러가 발생합니다.
제가 작성한 코드는 다음과 같은데 이유를 알 수 있을까요?
강의와 다른점은 저는 @PreAuthorize 어노테이션을 컨트롤러에 선언했습니다.
확인해주시고 답변 주시면 정말 감사드리겠습니다.
@Configuration
@EnableWebSecurity
@EnableMethodSecurity(prePostEnabled = false)
public class CustomMethodAuthorizationManagerConfig {
@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
http.authorizeHttpRequests(auth -> auth
.anyRequest().authenticated())
.formLogin(Customizer.withDefaults())
.csrf(AbstractHttpConfigurer::disable)
;
return http.build();
}
}
@EnableMethodSecurity(prePostEnabled = false)
@Configuration
public class MethodSecurityConfig {
@Bean
@Role(BeanDefinition.ROLE_INFRASTRUCTURE)
public Advisor preAuthorize() {
return AuthorizationManagerBeforeMethodInterceptor.preAuthorize(new MyPreAuthorizationManager());
}
@Bean
@Role(BeanDefinition.ROLE_INFRASTRUCTURE)
public Advisor postAuthorize() {
return AuthorizationManagerAfterMethodInterceptor.postAuthorize(new MyPostAuthorizationManager());
}
}MyPostAuthorizationManager와 MyPreAuthorizationManager는 강의의 코드와 동일합니다.
@RestController
@RequestMapping("/method/custom")
@RequiredArgsConstructor
public class CustomMethodController {
@GetMapping("/admin")
@PreAuthorize(value = "")
public String admin() {
return "admin";
}
@GetMapping("/user")
@PostAuthorize(value = "isAuthenticated()")
public MethodAccountDTO user(String name) {
return new MethodAccountDTO(name, false);
}
}답변 2
0
안녕하세요, 인프런 AI 인턴입니다.
문제 해결을 위해 분석한 바에 따르면, @PreAuthorize(value = "") 어노테이션을 사용할 때 발생하는 에러는 "expressionString must not be null or blank"로, expressionString이 null이거나 blank일 경우 발생하는 것으로 보입니다. @PreAuthorize 어노테이션에 빈 값이 설정된 것이 문제의 원인으로 보입니다.
Spring Security의 @PreAuthorize 어노테이션을 사용할 때에는 권한 검사를 위한 SpEL(Spring Expression Language) 표현식을 반드시 포함해야 합니다. 예를 들어, 특정 권한을 가진 사용자만 메서드를 호출할 수 있도록 하려면 @PreAuthorize("hasAuthority('ROLE_ADMIN')")과 같이 권한을 지정해야 합니다. 사용자가 인증되었는지 여부만 검사하려면 @PreAuthorize("isAuthenticated()")를 사용할 수 있습니다.
문제가 발생한 코드를 보면, @PreAuthorize(value = "")에서 expressionString으로 아무 값도 주어지지 않았습니다. 이는 Spring Security가 해당 표현식을 해석할 때, 유효한 표현식이 아니라고 판단하여 IllegalArgumentException을 발생시키는 원인입니다.
다음은 수정해야 할 부분에 대한 제안입니다:
- @EnableMethodSecurity 세팅 확인:
@EnableMethodSecurity(prePostEnabled = true)
prePostEnabled 속성을 true로 설정하여 @PreAuthorize와 @PostAuthorize 어노테이션을 활성화해야 합니다. 현재 코드에서는 false로 설정되어 있어 해당 어노테이션들이 제대로 작동하지 않습니다.
- @PreAuthorize 사용 수정:
@GetMapping("/admin")
@PreAuthorize("isAuthenticated()")
@PreAuthorize 어노테이션의 value 값에 유효한 표현식을 제공해야 합니다. 예를 들어, 사용자가 인증되었는지만 확인하려면 "isAuthenticated()"와 같이 설정할 수 있습니다.
위 두 가지 사항을 수정 후 다시 시도해 보시길 권장합니다.
혹시 이 외에도 추가적인 문제가 발생하거나, 스프링 시큐리티 설정에 대한 더 자세한 설명이 필요한 경우, 스프링 시큐리티 공식 문서 또는 인프런 강의 내 다른 챕터의 정보를 참고하는 것이 도움이 될 것입니다.
저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다.
현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏
추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.
로그아웃-logout()-2 강에서 겟방식 로그아웃 호출 후 화면이동 질문입니다.
0
35
2
단원별 소스코드
0
64
2
CustomAuthenticationProvider 추가 관련 문의
0
78
2
AOP 의존성 명칭 변경
0
76
1
빈 1개 등록 시 다른 해결 방법
0
70
1
@Bean으로 AuthenticationProvider를 등록 시 http.authenticationProvider 함수를 이용해서 추가해줘야되나요?
0
87
2
OIDC의 id token에 담긴 데이터에 대해
0
78
1
loginPage("/loginPage") 질문드립니다.
0
69
1
@EnableWebSecurity
0
148
1
트랜잭션과 롤백
0
99
1
68. 인증 이벤트 - AuthenticationEventPublisher 활용 강좌 음성 문제
0
91
2
AuthenticationManager 사용 방법
0
153
2
HttpSecurity.authorizeHttpRequests() - 2 강의 부분에 대한 질문
0
108
2
spring security 6.3에서는 HttpSecurity가 만들어지기 전 WebSecurity가 먼저 만들어지는게 맞나요??
0
192
1
init(B Builder), configure(B builder) 에 대하여 질문 드립니다.
0
109
2
메타 주석 질문
0
69
1
동시세션제어 기능에서 로그아웃하기
0
150
3
로그인 후, redirect 에서 error
0
140
3
Session 생성 타이밍에 대한 질문
0
86
2
강의 참고 내용을 개발 로그로 작성해도 될지 문의드립니다.
0
135
2
customAuthentication 관련
0
132
2
authenticationManagerBuilder 주입받은거 vs 만든 거
0
114
1
UserDetailsService()에서 UserDetail이 아닌 타입을 반환할 수 있나요?
0
101
1
9:28 패턴 3의 경우 마지막으로 설정한 것만 적용되는 것 같습니다.
0
162
2