• 카테고리

    질문 & 답변

  • 세부 분야

    백엔드

  • 해결 여부

    미해결

수업 내용은 아니지만 Security 관련 질문요청드립니다!

21.04.08 18:19 작성 조회수 483

1

안녕하세요! 좋은 강의 해주셔서 감사드립니다!

다름이아니라

리액트+스프링부트+스프링시큐리티 환경에서

로그인api 연동중에 CORS 이슈가 발생하여 구글링을 계속하였지만

결국 문제점을 해결하지 못하였습니다.. 죄송스럽지만 이렇게 질문 요청드립니다!!

질문요청드릴 내용은

스프링 시큐리티에서 CORS 설정 부분입니다.

우선 제가 적용한 코드는 아래와 같습니다!

@Configuration
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
            @Bean
            public CorsConfigurationSource corsConfigurationSource(){
        
                CorsConfiguration configuration = new CorsConfiguration();
        
                configuration.addAllowedOriginPattern("*");
                configuration.setAllowedMethods(Arrays.asList("*"));
                configuration.setAllowedHeaders(Arrays.asList("*"));
                configuration.setAllowCredentials(true);
                UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
                source.registerCorsConfiguration("/**", configuration);
       
                return source;
            }

            @Override
            protected void configure(HttpSecurity http) throws Exception {
                http
                        .csrf().disable()
                        .cors().and()
                        .authorizeRequests()
                        .antMatchers("/","/api/register","/api/login","/h2-console/**","/api/email","/api/verify","/api/matching/**").permitAll();
                http.addFilterBefore(loginProcessingFilter(), UsernamePasswordAuthenticationFilter.class); //ajax 인증방식 사용
                http.headers().frameOptions().disable(); //h2 console 접근
            }
}

이후

talend API Tester를 이용해서 api 테스트를 해본 결과

GET방식에는 문제가 없었으나 POST방식에서 403 에러 가 발생하였고

확인해본결과 preflight 요청에 대한 응답을 보내지못하는 문제로 판단되었습니다.

문제점을 해결하기 위해 configure 메소드에 아래와 같이 preflight 요청을 허가하는 코드를 작성 해보았지만 결과는 동일 하였으며

http.authorizeRequests()
       .requestMatchers(CorsUtils::isPreFlightRequest).permitAll(

스프링부트에서

configuration.allowCredentials(true)

configuration.allowedOrigins("*")

는 동시에 설정 못하도록 하였다고 해서

configuration.allowCredentials(true)

대신 .allowedOriginPatterns("*") 으로 변경해보았지만 역시 결과는 동일했습니다.

추가로 fliter의 순서가 문제인것같아 Filter를 상속받는 CORSFilter를 만들어서 적용해보았지만 결과는 동일 하였습니다. (해당부분은 https://sas-study.tistory.com/298 이 블로그를 참조했습니다.)

현재 어느 부분에서 해결점을 찾아야 할지 갈피를 못집고 있는 상황이라 이렇게 질문 요청드립니다..ㅜㅜ

답변해주시면 정말 감사드리겠습니다!

course-thumbnail

스프링 시큐리티

7) Ajax 로그인 구현 & CSRF 설정

강의실 바로가기

답변 2

·

답변을 작성해보세요.

1

정수원님의 프로필

정수원

지식공유자

2021.04.08

혹시 깃헙 공유 가능할까요?

현상을 테스트 해 봐야 정확한 원인을 알 수 있을 것 같습니다.

YoungJin Hwang님의 프로필

YoungJin Hwang

질문자

2021.04.08

https://github.com/Capstone-CC/cc-server/blob/main/src/main/java/com/cau/cc/security/config/SecurityConfig.java 

감사합니다!

YoungJin Hwang님의 프로필

YoungJin Hwang

질문자

2021.04.09

선생님 

정확한 이유는 아직 파악 못하였지만

configuration.setAllowedMethods(Arrays.asList("*"));


위 코드를


configuration.setAllowedMethods(Arrays.asList("GET","POST","PUT","PATCH","OPTIONS","DELETE"));


위 코드로 수정하여 해결하였습니다!

    

    

    

      
    
  
    

    

      
    

  


    

        

      

    

    

  

    

      
    

      
      
0

      
    

  
      
    

      

        

          
            

              정수원님의 프로필
            

            
정수원

            
    
      지식공유자
    
  
          
          
          
2021.04.09

        

        

          
네 해결되어서 다행입니다^^

        

        

    

      

        
    
  
        
    
  
      

      

        
    
  
        
    
  
      

    

    

      

        
    
  
        
      

      

        
    
  
        
      

    

  

      

      

        
        

          
    

      
    

      
        

          YoungJin Hwang님의 프로필
        

        

          
YoungJin Hwang

          
    
      질문자
    
  
        

      
      
      
2021.04.09

    

    

      
감사합니다

    

    

    

      
    
  
    

    

      
    

  


    

        

      

    

    

  

    

  

      

      
      

    

      
    

     이 글과 비슷한 Q&A