[Spring Security] Spring Security 초기 설정

📍Spring Security란?

 

필터링으로 동작하는 스프링 기반의 어플리케이션의 보안(인증과 권한)을 담당하는 프레임워크
만약 스프링시큐리티를 사용하지 않았다면, 자체적으로 세션을 체크하고 redirect 등을 다양한 처리를 해야하지만 스프링 시큐리티는 보안과 관련해서 체계적으로 많은 옵션들을 지원해주기 때문에 간단한 코딩만으로 구현 가능하다.

---

📍Spring Security 사용 방법

1. 기존 Spring boot  프로젝트에 Spring security 라이브러리 추가

 

 pom.xml

		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-web</artifactId>
		</dependency>
//...
//Spring security 라이브러리
		<dependency>
			<groupId>org.springframework.boot</groupId>
			<artifactId>spring-boot-starter-security</artifactId>
		</dependency>
        
//..

 

2. 시큐리티 관련된 로그를 출력하기 위한 설정 

 

application.yml

logging:
  level:
    org.springframework.security: DEBUG

 

Security 라이브러리를 pom.xml에 추가하고 localhost:8080으로 접속하면  localhost:8080/login으로 리다이렉트되고 밑 그림과 같은 로그인 페이지가 뜬다.
그 말은 즉슨 Security 안에 View, Controller 등 어느 정도의 구현이 되어 있겠다!

---

📍사용 예시

package com.example.demo.config;

import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.WebSecurityConfiguration;
import org.springframework.security.web.SecurityFilterChain;

@Configuration
public class SecurityConfig  {
    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http){
        try {
            http.csrf().disable()
                    .authorizeRequests()
                    .antMatchers().permitAll()
                    .anyRequest().denyAll();


            return http.build();
        }catch (Exception e){
            throw new RuntimeException(e);
        }
    }

}

 

csrf().disable : 토큰 발급 받아서 저장할 수 있게 하는 그 기능을 끔

antMatchers(~).permitAll()  : ~ 부분을 허용

.anyRequest().denyAll()  : 모든 요청을 허용하지 않음

 

Filter에서 거부가 되면, Dispatcher까지 가지도 않고 바로 Filter에서 반환된다. 

위 코드는 모든 요청에 대하여 deny했기 때문에, Filter에서 반환되어 밑 사진과 같이 액세스 거부 에러가 뜨게 된다.