start.spring.io

• 필수 의존성 목록
  • Spring Web
  • Lombok
  • Thymeleaf
  • Spring Security
  • Spring Data JPA
  • MySQL Driver

인가

특정한 경로에 요청이 오면 Controller 클래스에 도달하기 전 필터에서 Spring Security가 검증을 함

1. 해당 경로의 접근은 누구에게 열려 있는지
2. 로그인이 완료된 사용자 인지
3. 해당되는 role을 가지고 있는지

Security Configuration

인가를 설정하는 클래스

SecurityConfig 클래스 작성

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.web.SecurityFilterChain;

@Configuration
@EnableWebSecurity
public class SecurityConfig {
		
		@Bean
		public SecurityFilterChain filterCHain(HttpSecurity http) throw Exception{
				http
						.authorizeHttpRequests((auth)->
								auth
										.requestMatchers("/login","/join").permitAll()
										.requestMatchers("/").permitAll()
										.requestMatchers("/my/**").hasAnyRole("ADMIN","USER")
										.requestMatchers("/admin").hasRole("ADMIN")
										.anyRequest().authenticatecd()
								);
					return http.build();		
		}
}

• requsetMathcers() 를 통해 주소를 설정해 줄 수 있습니다.
• permitAll() 을 통해 requestMatchers() 에서 설정된 주소에 모든 사용자가 접근을 할 수 있도록 할 수 있습니다.
• hasRole() 을 통해 requsetMathcers() 에서 설정된 주소의 접근 권한을 설정할 수 있습니다.
  • 대표적으로 ADMIN 과 USER 의 권한이 설정 할 수 있습니다.
• hasAnyRole() 을 통해 requestMatchers() 에서 설정된 주소의 접근 권한을 설정할 수 있습니다. hasRole() 과는 반대로 여러 개의 Role 을 부여할 수 있습니다.

커스텀 로그인

Config 설정 후 로그인 페이지

스프링 시큐리티 COnfig 클래스 설정 후 특정 경로에 대한 접근 권한이 없는 경우 자동으로 로그인 페이지로 리다이렉팅 되지 않고 오류 페이지가 발생한다.