spring security 도입

[yeeuniii]

작업 요약

spring security 도입

작업 세부 사항

• [ ]
• [ ]
• [ ]

[yeeuniii]

시작하기 전에 버전 차이로 인한 이슈 알아두기

• spring security 5.7이상부터 WebSecurityConfigurerAdapter 지원 중단

https://this-circle-jeong.tistory.com/162

• spring security 6.1 이상부터 메서드 체이닝의 사용을 지양하고 람다식을 통해 함수형 설정을 지향

  'authorizeHttpRequests()' is deprecated since version 6.1 and marked for removal 

  https://velog.io/@woosim34/Spring-Security-6.1.0에서-is-deprecated-and-marked-for-removal-오류

[yeeuniii]

Jwt 인증 필터

• Jwt 인증 인터셉터에서 하던 일과 동일
• 역할을 ROLE_ 로 시작해야함 https://github.com/yeeuniii/study-spring-security/blob/43cc3c8df0d418d0336fe804623b55da9cca0ad3/src/main/java/com/exchangediary/global/config/web/filter/JwtAuthenticationFilter.java#L46-L47
• 단, 시큐리티 컨텍스트(Security Context)를 생성하여 AbstractAuthenticationToken을 추가해줌
• 그러고 SecurityContextHolder에 Security Context를 추가 https://github.com/yeeuniii/study-spring-security/blob/43cc3c8df0d418d0336fe804623b55da9cca0ad3/src/main/java/com/exchangediary/global/config/web/filter/JwtAuthenticationFilter.java#L49-L54
• UsernamePasswordAuthenticationToken의 각 인자는 주체의 정보(memberId or member), 비밀번호, 권한 리스트

질문

• [ ] OncePerRequestFilter는 무엇인가?
• [ ] FilterChain은 무엇인가?
• [ ] doFilter은 무엇인가?

[yeeuniii]

WebSecurityConfig

@Configuration
@EnableWebSecurity
@RequiredArgsConstructor
public class WebSecurityConfig {
    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        return http.build();
    }
}

• 필터체인을 반환하는 형식으로..

[yeeuniii]

AuthenticationEntryPoint

인증 예외를 처리하는 클래스

• spring security는 초기화 진행이 되면 기본적으로
  • fomLoginAuthentication(폼 로그인 인증)방식과
  • HttpBasicAuthentication(http 베이직 인증)방식을 설정하고 시작함
• 따라서 Spring security 초기화 후 2개의 EntryPoint가 존재함
• 아무런 설정이 없으면 default entry point를 사용하게 됨.
• 하지만 지금처럼 CustomAuthenticationEntryPoint가 존재 시 해당 EntryPoint가 가장 우선시됨 ➡️ defaultEntryPoint보다 CustomEntryPoint가 우선적으로 사용된다.

AuthenticationEntryPoint 이해

[yeeuniii]

서타몽 유튜브 [Spring boot 3 - Mail, OAuth2.0] 보면서 학습함.

• 7. JwtAuthenticationFilter 작성
• 8. WebSecurityConfig 작성

[yeeuniii]

OAuth 공부하다가 좌절됨 ㅎㅎ 다음 기회에 더 공부하는거로~~