WebSecurityConfigurerAdapter에 대해 질문이 있습니다.

WebSecurityConfigurerAdapter의 초기화는 언제 되고, WebSecurityConfigurerAdapter의 설정에 HttpSecurity 설정 이외에 자주 사용하는 설정이 있는지?

• 초기화는 스프링 시큐리티가 구동되면서 스프링 부트의 자동설정에 의해 WebSecurityConfigurerAdapter 클래스가 호출이 됩니다. 그 때 HttpSecurity 객체를 통해 인증이나 인가와 관련된 설정을 하게 됩니다. 대부분은 HttpSecurity 객체를 통한 설정이고 그외에 PasswordEncoder, UserDetailsService, AuthenticationProvider 등과 같은 클래스들을 커스텀하게 설정할 수 있습니다.

사용자 정의한 필터 적용시 적용 필터를 우선으로 사용하고 싶은 경우?

• 사용자가 직접 필터를 만든 경우 해당 필터를 가장 우선으로 사용하고 싶다는 의미인가요?
  이부분은 이 후 실전 프로젝트 섹션 강의에서 설명하고 있으니 참고해 주시기 바랍니다.
  간략하게 말씀드리면 사용자가 만든 필터를 이미 생성된 필터들 사이에서 어떤 위치에 둘 것인지 정하시면 됩니다.
  참고로 사용자가 별도로 보안 설정 클래스를 생성해서 필터가 구성이 되면 스프링 시큐리티에서 기본적으로 정의한 필터들을 포함해서 사용자 보안 설정에 의한 필터가 합쳐져서 적용이 됩니다.

사용자가 정의한 필터 이용시 필터가 어떤 순서로 적용되는지?

• 이 부분은
  스프링 시큐리티 주요 아키텍처 이해 - 위임필터 및 필터 빈 초기화위임 필터 및 필터 빈 초기화
  챕터를 참고해 주시기 바랍니다

다른 API 의 연동으로 다중필터 이용시 충돌이 발생하지 않는지?

• 이 부분은
  스프링 시큐리티 주요 아키텍처 이해 - 필터초기화와 다중필터 이해 강의
  를 참고해 주시기 바랍니다

다른 API와 세션값을 공유하는지?

• 세션은 동일한 사용자에 한해 API 가 다르더라도 다른 값을 가질 수 없습니다. 즉 인증 처리나 인가 처리가 다중 필터에 의해 각각 처리가 될 수 있지만 세션에 저장된 값은 동일하게 참조됩니다.

현재 WebSecurityConfigurerAdapter는 삭제 될 예정(Deoprecated)인 클래스라고 안내문과 SecurityConfig를 사용하는 것을 권장한다는데 혹시 SecurityConfig에 대해서 알 수 있을 까요?

(현재 Spring Boot 2.7.7 버전을 이용해서 프로젝트를 생성했습니다.)

• SecurityConfig 는 사용자 설정 클래스를 의미하고 이 클래스 안에서 SecurityFilterChain 을 빈으로 생성해서 사용하는 것을 권장한다는 의미입니다.

   

HttpSecurity 클래스에서 and() 메소드를 사용하는 시점을 알 수 있을까요?

아래 사진에서 and()를 사용하는 곳과 사용하지 않는 곳이 있어서 언제 사용해야 하는지 이해하기 어렵습니다.

• and() 는 HttpSecurity 객체를 다시 반환받는다는 의미입니다. 그렇기 때문에 언제, 어디서 사용해야 한다는 특별한 가이드나 룰은 없습니다. HttpSecurity 객체를 반환받아서 API 를 사용하고자 한다면 언제든지 and() 를 사용하시면 됩니다. 그렇지 않으면 and() 대신에 httpSecurity.someApi() 와 같이 직접 사용하셔도 무방합니다.