-
카테고리
-
세부 분야
백엔드
-
해결 여부
미해결
생성한 FilterSecurityInterceptor 에 권한 정보가 매핑되지 않는 이유
22.12.19 09:29 작성 22.12.19 09:33 수정 조회수 614
0
안녕하세요. 19분 설명해주시는 부분에서 의문점이 생겨서 질문드립니다.
저희가 설정한 customFilterSecurityInterceptor 는 다음과 같습니다.
@Bean
public FilterSecurityInterceptor customFilterSecurityInterceptor() throws Exception {
FilterSecurityInterceptor filterSecurityInterceptor = new FilterSecurityInterceptor();
filterSecurityInterceptor.setSecurityMetadataSource(filterInvocationSecurityMetadataSource());
filterSecurityInterceptor.setAccessDecisionManager(affirmativeBased()); // 가장 많이하는 ADM을 세팅해준다.
filterSecurityInterceptor.setAuthenticationManager(authenticationManagerBean());
return filterSecurityInterceptor;
}
똑같은 FilterSecurityInterceptor 를 선언해 필요한 설정들만 custom 객체들로 넣어준 후 반환해주는 형식입니다.
그리고 설정해준 authorization url 경로 설정들은 다음과 같았습니다.
http
.authorizeRequests()
.antMatchers("/mypage").hasRole("USER")
.antMatchers("/messages").hasRole("MANAGER")
.antMAtchers("/config").hasRole("ADMIN")
.anyRequest().authenticated()
.and()
.addFilterBefore(customFilterSecurityInterceptor(), FilterSecurityInterceptor.class)
이 때, 저희가 적용한 필터를 먼저 끼워준다고 해서 왜 권한 정보들을 못받아오는지 궁금합니다.
서버 기동시 ExpressionBasedFilterInvocationSecurityMetadataSource.class 에서 설정한 권한 URL 정보들을 Meta-data로 저장한다고 설명해주셨습니다. 하지만 이 부분에서 "이 시점에 FilterSecurityInterceptor Bean" 에 이 requestMap metadata를 넣어주는 것도 아닌 것 같아보이는데 왜 못받아오는지 궁금합니다!
이 requestMap 을 받아오는 것을 수행하는게 FilterInvocationSecurityMetadataSource.class 인 것 같은데, DefaultFilter~Source.class를 봐도 결국 생성자에서 주입받는 것 같습니다.
public DefaultFilterInvocationSecurityMetadataSource(
LinkedHashMap<RequestMatcher, Collection<ConfigAttribute>> requestMap) {
this.requestMap = requestMap;
}
이 클래스 생성이 어디에서 되는지는 모르겠지만, 결국 저장된 METADATA를 어디에서 생성후 여기에 넣어주는 것 아닐까요? 그럼 저희가 만든 Url~MetaDataSource.class 도 생성자 주입을 통해서 넣어줄 수 있는 것 아닐까요?
또한, CustomUrlFilterInvocationSecurityMetadataSource 를 왜 만드셨는지 조금 궁금합니다! 이전 프로젝트였던 Ajax Authentication 같은 경우는 기존 FormLogin 과는 다르게 설정할 부분이 있었고, AccountContext와 같이 앱 내에서의 멤버 객체와 Security를 연동해주는 과정이 따로 필요해서 Token, Provider 등을 커스텀화하는 것이 이해가 되었습니다. 또한 추후 Token 구현 같은 것을 할 때도 참고가 정말 많이 되는 것 같았습니다.
하지만 이 Filter 같은 경우는 그냥 기존에 하는 역할 똑같이 수행하는 것 같은데, 왜 Custom 화 한 클래스가 따로 생성이 필요한지 궁금합니다! 별 다른 의도가 아니라 Custom Class를 만들어 보면서 Authorization 과정을 눈으로 보면서 이해해보기 위함일까요?
답변을 작성해보세요.
0
정수원
지식공유자2022.12.20
1번 2번 질문이 연관되어서 같이 답변을 드리도록 하겠습니다.
customFilterSecurityInterceptor() 를 생성한 이유는
filterSecurityInterceptor.setSecurityMetadataSource(filterInvocationSecurityMetadataSource()); 에서 별도의 커스텀한 SecurityMetadataSource 클래스를 만들어 설정하기 위함입니다.
즉 filterInvocationSecurityMetadataSource() 는 CustomUrlFilterInvocationSecurityMetadataSource 를 생성하는 건데 이 클래스가
ExpressionBasedFilterInvocationSecurityMetadataSource 클래스를 대체해서 권한을 체크하게 됩니다.
그렇게 되면 더이상
.antMatchers("/mypage").hasRole("USER")
.antMatchers("/messages").hasRole("MANAGER")
.antMAtchers("/config").hasRole("ADMIN")
위의 코드는 실행이 되지 않고 CustomUrlFilterInvocationSecurityMetadataSource 클래스에서 구현한 권한 로직이 실행되게 됩니다.
결론적으로 CustomFilterSecurityInterceptor 를 생성한 이유는 ExpressionBasedFilterInvocationSecurityMetadataSource 를 실행하지 않고 CustomUrlFilterInvocationSecurityMetadataSource 를 실행하기 위해서이고 이 클래스는 DB 와 연동해서 권한을 체크하는 역할을 담당하게 됩니다.
강의를 보시면 제가 위의 내용을 자세하게 설명하고 있습니다.
답변 1