Security 6.0에서의 다중보안설정

네

일단 6.0 이상에서의 예제는 제공해 드리기가 어려울 것 같습니다.

아직 6.0버전에 대한 변경사항에 대해 충분한 검토와 테스트 그리고 검증이 이루어지지 않았기 때문에 5.x 버전 기준으로 설명 드립니다.

사실 저의 강의에서도 예제를 다루고 있습니다.

실전 프로젝트 3 과 4를 학습하시면 Form 로그인과 Ajax 로그인 방식을 각 별도로 구성해서 각 url 요청에 따른 처리를 하는 방법을 설명하고 있습니다.

일단 간단한 코드를 보여 드리면

@Configuration
@EnableWebSecurity
public class RestSecurityConfig {

@Bean
@Order(Ordered.HIGHEST_PRECEDENCE)
public SecurityFilterChain restSecurityFilterChain(HttpSecurity http) throws Exception {

http
.antMatcher("/api/**")
.authorizeRequests()
.antMatchers("/api/**").permitAll()
.anyRequest().authenticated()

http.addFilter(restAuthenticationFilter(), UsernamePasswordAuthenticationFilter.class)

return http.build();

}
}

@Configuration
@EnableWebSecurity
public class FormSecurityConfig {

@Bean
public SecurityFilterChain formSecurityFilterChain(HttpSecurity http) throws Exception {

http
.antMatcher("/web/**")
.authorizeRequests()
.antMatchers("/index","/").permitAll()
.anyRequest().authenticated()

http.formLogin()
.loginPage("/login")
.successUrl("/")
.permitAll()

return http.build();

}
}

두개의 설정 클래스가 있고 첫번째 클래스는 /api/** 요청을 받아 인증/인가 처리를 하고 있고 두번째 클래스는 "/web/**" 요청을 받아 인증/인가 처리를 하고 있습니다.

물론 첫번째는 필요시 별도의 인증 필터(ex RestAuthenticationFilter)를 만들어야 하는데 그 부분은 실전프로젝트 4를 참고하시면 됩니다.

위 처럼 두개의 설정 클래스를 만들고 나서 어떤 설정 클래스를 먼저 실행시킬 것인지 순서를 정해주어야 합니다

그래서 첫번째 클래스에 @Order(Ordered.HIGHEST_PRECEDENCE) 를 먼저 주었습니다.

이렇게 되면 사용자의 요청 url 에 따라 스프링 시큐리티가 두 설정클래스 중 하나를 선택해서 보안처리를 하게 됩니다.

제가 예시해 드린 코드가 해결방안을 안내해 드린 것이기 때문에 정상적적으로 작동하지 않을 수 있습니다.

위의 코드를 참고해서 만들어보시고 잘 되지 않을 경우 작성한 코드를 저에게 공유해 주시면 제가 테스트해 보도록 하겠습니다.