• 카테고리

    질문 & 답변

  • 세부 분야

    백엔드

  • 해결 여부

    미해결

생성한 FilterSecurityInterceptor 에 권한 정보가 매핑되지 않는 이유

22.12.19 09:29 작성 22.12.19 09:33 수정 조회수 614

0

안녕하세요. 19분 설명해주시는 부분에서 의문점이 생겨서 질문드립니다.

 

저희가 설정한 customFilterSecurityInterceptor 는 다음과 같습니다.

@Bean
public FilterSecurityInterceptor customFilterSecurityInterceptor() throws Exception {

    FilterSecurityInterceptor filterSecurityInterceptor = new FilterSecurityInterceptor();
    filterSecurityInterceptor.setSecurityMetadataSource(filterInvocationSecurityMetadataSource());
    filterSecurityInterceptor.setAccessDecisionManager(affirmativeBased()); // 가장 많이하는 ADM을 세팅해준다.
    filterSecurityInterceptor.setAuthenticationManager(authenticationManagerBean());

    return filterSecurityInterceptor;
}

 

똑같은 FilterSecurityInterceptor 를 선언해 필요한 설정들만 custom 객체들로 넣어준 후 반환해주는 형식입니다.

 

그리고 설정해준 authorization url 경로 설정들은 다음과 같았습니다.

    http
        .authorizeRequests()
        .antMatchers("/mypage").hasRole("USER")
        .antMatchers("/messages").hasRole("MANAGER")
        .antMAtchers("/config").hasRole("ADMIN")
        .anyRequest().authenticated()
        .and()
        .addFilterBefore(customFilterSecurityInterceptor(), FilterSecurityInterceptor.class)

  1. 이 때, 저희가 적용한 필터를 먼저 끼워준다고 해서 왜 권한 정보들을 못받아오는지 궁금합니다.

 

서버 기동시 ExpressionBasedFilterInvocationSecurityMetadataSource.class 에서 설정한 권한 URL 정보들을 Meta-data로 저장한다고 설명해주셨습니다. 하지만 이 부분에서 "이 시점에 FilterSecurityInterceptor Bean" 에 이 requestMap metadata를 넣어주는 것도 아닌 것 같아보이는데 왜 못받아오는지 궁금합니다!

 

이 requestMap 을 받아오는 것을 수행하는게 FilterInvocationSecurityMetadataSource.class 인 것 같은데, DefaultFilter~Source.class를 봐도 결국 생성자에서 주입받는 것 같습니다.

public DefaultFilterInvocationSecurityMetadataSource(
			LinkedHashMap<RequestMatcher, Collection<ConfigAttribute>> requestMap) {
		this.requestMap = requestMap;
	}

이 클래스 생성이 어디에서 되는지는 모르겠지만, 결국 저장된 METADATA를 어디에서 생성후 여기에 넣어주는 것 아닐까요? 그럼 저희가 만든 Url~MetaDataSource.class 도 생성자 주입을 통해서 넣어줄 수 있는 것 아닐까요?

 

 

  1. 또한, CustomUrlFilterInvocationSecurityMetadataSource 를 왜 만드셨는지 조금 궁금합니다! 이전 프로젝트였던 Ajax Authentication 같은 경우는 기존 FormLogin 과는 다르게 설정할 부분이 있었고, AccountContext와 같이 앱 내에서의 멤버 객체와 Security를 연동해주는 과정이 따로 필요해서 Token, Provider 등을 커스텀화하는 것이 이해가 되었습니다. 또한 추후 Token 구현 같은 것을 할 때도 참고가 정말 많이 되는 것 같았습니다.


    하지만 이 Filter 같은 경우는 그냥 기존에 하는 역할 똑같이 수행하는 것 같은데, 왜 Custom 화 한 클래스가 따로 생성이 필요한지 궁금합니다! 별 다른 의도가 아니라 Custom Class를 만들어 보면서 Authorization 과정을 눈으로 보면서 이해해보기 위함일까요?

 

course-thumbnail

스프링 시큐리티

4) 웹 기반 인가처리 DB 연동 - FilterInvocationSecurityMetadataSource (1)

강의실 바로가기

답변 1

답변을 작성해보세요.

0

정수원님의 프로필

정수원

지식공유자

2022.12.20

1번 2번 질문이 연관되어서 같이 답변을 드리도록 하겠습니다.

customFilterSecurityInterceptor() 를 생성한 이유는

filterSecurityInterceptor.setSecurityMetadataSource(filterInvocationSecurityMetadataSource()); 에서 별도의 커스텀한 SecurityMetadataSource 클래스를 만들어 설정하기 위함입니다.

즉 filterInvocationSecurityMetadataSource() 는 CustomUrlFilterInvocationSecurityMetadataSource 를 생성하는 건데 이 클래스가

ExpressionBasedFilterInvocationSecurityMetadataSource 클래스를 대체해서 권한을 체크하게 됩니다.

그렇게 되면 더이상 

.antMatchers("/mypage").hasRole("USER")
        .antMatchers("/messages").hasRole("MANAGER")
        .antMAtchers("/config").hasRole("ADMIN")

위의 코드는 실행이 되지 않고 CustomUrlFilterInvocationSecurityMetadataSource 클래스에서 구현한 권한 로직이 실행되게 됩니다.

결론적으로 CustomFilterSecurityInterceptor 를 생성한 이유는 ExpressionBasedFilterInvocationSecurityMetadataSource 를 실행하지 않고 CustomUrlFilterInvocationSecurityMetadataSource 를 실행하기 위해서이고 이 클래스는 DB 와 연동해서 권한을 체크하는 역할을 담당하게 됩니다.

강의를 보시면 제가 위의 내용을 자세하게 설명하고 있습니다.

이 글과 비슷한 Q&A