• 카테고리

    질문 & 답변

  • 세부 분야

    백엔드

  • 해결 여부

    미해결

h2-console을 위해 configure 메서드를 오버라이딩하는 부분에 대해

22.01.16 16:40 작성 조회수 294

2

SecurityConfig.java 의 configure 메서드에서 첫 줄이 없어도 h2-console에 잘 접근하네요.

@Override
    protected void configure(HttpSecurity http) throws Exception {
//        http.authorizeRequests().antMatchers("/h2-console/**").permitAll();
        http.csrf().disable();
        http.headers().frameOptions().disable();
    }

제가 강의를 따라하며 예상한 동작은 h2-console 이외의 API 요청은 기존처럼 아이디와 패스워드를 필요로 하고, h2-console은 위의 옵션을 넣었기 때문에 자유롭게 사용할 수 있겠구나라고 생각했었는데요. 해당 옵션 추가 후 다른 API로 요청에도 아이디와 패스워드를 필요로 하지 않아서 의문을 가지게 되었어요.

 

조금 살펴보니 SecurityConfig의 부모 클래스인WebSecurityConfigurerAdapter 의 configure 메서드에 기존의 설정이 있는데 (모든 요청에는 인증이 필요하고, 로그인 폼을 띄우고) 오버라이딩했기 때문에 해당 설정 부분이 날아가 버렸다고 추측해요. 

WebSecurityConfigurerAdapter.java 의 configure 메서드

protected void configure(HttpSecurity http) throws Exception {
    this.logger.debug("Using default configure(HttpSecurity). If subclassed this will potentially override subclass configure(HttpSecurity).");
    http.authorizeRequests((requests) -> {
        ((AuthorizedUrl)requests.anyRequest()).authenticated();
    });
    http.formLogin();
    http.httpBasic();
}

따라서 저처럼 다른 API로의 요청은 인증을 거치게 하고 싶으면 추가로 다른 옵션들을 넣어줘야 합니다.

http.authorizeRequests()
        .antMatchers("/h2-console/**").permitAll()
        .anyRequest().authenticated(); // 허용하지 않은 API는 인증이 필요

 

* 다른 분들은 혼동이 오지 않으셨을 수도 있지만, 저는 헷갈렸고 비슷하게 생각하는 학생들도 있지 않을까 해서 남겨놉니다. 혹시 잘못된 정보가 있으면 댓글로 알려주세요 😉 

course-thumbnail

[개정판 2023-11-27] Spring Boot 3.x 를 이용한 RESTful Web Services 개발

JPA 사용을 위한 Dependency 추가와 Entity 설정

강의실 바로가기

답변 1

답변을 작성해보세요.

1

Dowon Lee님의 프로필

Dowon Lee

지식공유자

2022.02.02

안녕하세요, 이도원입니다. 

말씀하신 것 처럼 인증을 거치지 않게 하기 위해 permitAll 을 지정하실 수 있으며, 그외 요청에 대해 인증을 거치게 하기 위해서는 authenticated를 사용하시면 됩니다. 정보 공유해 주셔서 감사합니다. 

새해 복 많이 받으세요.

이 글과 비슷한 Q&A