[Spring] Spring Security(스프링 시큐리티) 권한설정과 표현식

선언적 방식
동적 방식 - DB 연동 프로그래밍 방식
인가 API

권한 설정 방식에는 선언적 방식과 동적 방식이 존재한다.

선언적 방식

URL
- http.antMatcher("/user/**).hasRole("USER")
Method
- @PreAuthorize("hasRole('USER')")
  public void user() {System.out.println("user")}

동적 방식 - DB 연동 프로그래밍 방식

URL
Method

SecurityConfig

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
        .antMatcher(“/shop/**”)
        .authorizeRequests()
        .antMatchers(“/shop/login”, “/shop/users/**”).permitAll()
			  .antMatchers(“/shop/mypage”).hasRole(“USER”)
        .antMatchers("/shop/admin/pay").access("hasRole('ADMIN')");
				.antMatchers("/shop/admin/**").access("hasRole('ADMIN') or hasRole(‘SYS ')");
        .anyRequest().authenticated()
       }

** : 모든 하위 경로

⚠️설정 시 구체적인 경로가 먼저 오고 그것보다 큰 범위의 경로가 뒤에 오도록 해야 한다.

        .antMatchers("/shop/admin/pay").access("hasRole('ADMIN')");
	.antMatchers("/shop/admin/**").access("hasRole('ADMIN') or hasRole(‘SYS ')");

스프링 시큐리티는 위에서부터 아래로 인가처리를 하는데 해당 코드를 보면 아래 코드가 위의 경로를 포함하고 있다.

아래쪽이 먼저 작성하면 SYS권한을 가진 역할이 /shop/admin/pay에 접근할 수 있게 된다.

인가 API

anonymous는 익명 사용자만 접근이 가능하기 때문에 USER로 지정된 사용자는 접근이 불가능하다. 모든 사람이 볼 수 있도록 하려면 permitAll() 설정을 해줘야 한다.

메모리 방식으로 사용자 생성

SecurityConfig

@Bean
public static UserDetailsManager users() {

    UserDetails user = User.builder()
            .username("user")
            .password("{noop}1111")
            .roles("USER")
            .build();

    UserDetails sys = User.builder()
            .username("sys")
            .password("{noop}1111")
            .roles("SYS")
            .build();

    UserDetails admin = User.builder()
            .username("admin")
            .password("{noop}1111")
            .roles("ADMIN", "SYS", "USER")
            .build();

    return new InMemoryUserDetailsManager( user, sys, admin );
}

@Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {

        http
                .authorizeHttpRequests()
                .antMatchers("/user").hasRole("USER")
                .antMatchers("/admin/pay").hasRole("ADMIN")
                .antMatchers("/amin/**").hasRole("hasRole('ADMIN') or hasRole('SYS')")
                .anyRequest().authenticated();

        return http.build();
    }

USER는 /user에만 접근 가능
SYS권한은 admin은 가능하고 admin/pay는 불가능함
ADMIN권한은 /admin 모두 가능

실제 운영 방식은 메모리로 말고 동적으로 DB를 사용해야 됨. 메모리 방식은 그냥 테스트 용도로만!

해당 글은 인프런의 스프링시큐리티-Spring Boot 기반으로 개발하는 Spring Security를 보고 작성한 글입니다.

저작자표시 (새창열림)

'Spring' 카테고리의 다른 글

[Spring] Spring Security(스프링 시큐리티) CSRF, CsrfFilter - 로그아웃 예제 (2)	2023.11.20
[Spring] Spring Security(스프링 시큐리티) ExceptionTraslationFilter, RequestCacheAwareFilter (0)	2023.11.15
[Spring] Spring Security(스프링 시큐리티) 동시 세션 제어, 세션 고정 보호, 세션 정책 (0)	2023.11.06
[Spring] Spring Security(스프링 시큐리티) 익명사용자 인증 : AnonymousAuthenticationFilter (0)	2023.11.04
[Spring] Spring Security(스프링 시큐리티) Remember-Me 인증 (0)	2023.11.03

내 블로그 - 관리자 홈 전환	`Q` `Q`
새 글 쓰기	`W` `W`

글 수정 (권한 있는 경우)	`E` `E`
댓글 영역으로 이동	`C` `C`

이 페이지의 URL 복사	`S` `S`
맨 위로 이동	`T` `T`
티스토리 홈 이동	`H` `H`
단축키 안내	`Shift` + `/` `⇧` + `/`

[Spring] Spring Security(스프링 시큐리티) 권한설정과 표현식

선언적 방식

동적 방식 - DB 연동 프로그래밍 방식

인가 API

'Spring' 카테고리의 다른 글

선언적 방식

동적 방식 - DB 연동 프로그래밍 방식

인가 API

'Spring' 카테고리의 다른 글

티스토리툴바

단축키

내 블로그

블로그 게시글

모든 영역