[SpringSecurity] SecurityConfig 알아보기

 

WebSecurityConfigurerAdapter

개발자가 SpringSecurity 설정을 더 쉽게 구현하도록 구현되어있다.

위를 상속받으면 class에 @EnableWebSecurity 설정해줘야한다.

 

URL Matchers 관련 기능

• antMatchers()
  • antMatchers("/signup").permitAll()
  • "/signup" 요청을 모두에게 허용
• mvcMatchers()
  • mvcMatchers("/signup").permitAll()
  • "/signup", "/signup/", "/signup.html" 와 같은 유사 signup 요청을 모두에게 허용한다.
• regexMatchers()
  • 정규표현식으로 매칭한다
• requestMatchers
  • 위의 세개 모두 requestMatchers로 이루어져 있다.
  • 명확하게 요청 대상을 지정하는 경우에 requestMatchers를 사용한다.

 

인가 관련 설정

• http.authorizeRequests()
  • 인가를 설정
• permitAll()
  • http.authorizeRequests().antMatchers("/signup").permitAll()
  • "/signup" 요청을 모두에게 허용한다.
• hasRole()
  • http.authorizeRequests().antMatchers(HttpMethod.POST, "/notice").hasRole("ADMIN")
  • 권한을 검증
• authenticated()
  • 인증이 되었는지를 검증한다.
• ignoring()
  • 특정 리소스에 대해서 SpringSecurity 자체를 적용하고 싶지 않을때
  • ignoring을 사용한 코드는 permitAll과 다르게 SpringSecurity의 대상에 포함하지 않는다.
  • 어떤 필터도 실행되지 않아 성능적으로 우수함

@Override
public void configure(WebSecurity web) {
	// 정적 리소스 spring security 대상에서 제외
	web.ignoring().antMatchers("/images/**", "/css/**"); // 아래 코드와 같은 코드
	web.ignoring().requestMatchers(PathRequest.toStaticResources().atCommonLocations());
}

 

---

예제

/**
 * Security 설정 Config
 */
@Configuration
@EnableWebSecurity
@RequiredArgsConstructor
public class SpringSecurityConfig extends WebSecurityConfigurerAdapter {

    private final UserService userService;

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        // basic authentication
        http.httpBasic().disable(); // basic authentication filter 비활성화
        // csrf
        http.csrf();
        // remember-me
        http.rememberMe();
        // authorization
        http.authorizeRequests()
                // /와 /home은 모두에게 허용
                .antMatchers("/", "/home", "/signup").permitAll()
                // hello 페이지는 USER 롤을 가진 유저에게만 허용
                .antMatchers("/note").hasRole("USER")
                .antMatchers("/admin").hasRole("ADMIN")
                .antMatchers(HttpMethod.POST, "/notice").hasRole("ADMIN")
                .antMatchers(HttpMethod.DELETE, "/notice").hasRole("ADMIN")
                .anyRequest().authenticated();
        // login
        http.formLogin()
                .loginPage("/login")
                .defaultSuccessUrl("/")
                .permitAll(); // 모두 허용
        // logout
        http.logout()
                .logoutRequestMatcher(new AntPathRequestMatcher("/logout"))
                .logoutSuccessUrl("/");
    }

    @Override
    public void configure(WebSecurity web) {
        // 정적 리소스 spring security 대상에서 제외
//        web.ignoring().antMatchers("/images/**", "/css/**"); // 아래 코드와 같은 코드입니다.
        web.ignoring().requestMatchers(PathRequest.toStaticResources().atCommonLocations());
    }

    /**
     * UserDetailsService 구현
     *
     * @return UserDetailsService
     */
    @Bean
    @Override
    public UserDetailsService userDetailsService() {
        return username -> {
            User user = userService.findByUsername(username);
            if (user == null) {
                throw new UsernameNotFoundException(username);
            }
            return user;
        };
    }
}