[Spring] Spring Security(스프링 시큐리티) 권한설정과 표현식

 

권한 설정 방식에는 선언적 방식과 동적 방식이 존재한다.

 

선언적 방식

• URL
  • http.antMatcher("/user/**).hasRole("USER")
• Method
  • @PreAuthorize("hasRole('USER')")
    public void user() {System.out.println("user")}

 

동적 방식 - DB 연동 프로그래밍 방식

• URL
• Method

 

SecurityConfig

@Override
protected void configure(HttpSecurity http) throws Exception {
    http
        .antMatcher(“/shop/**”)
        .authorizeRequests()
        .antMatchers(“/shop/login”, “/shop/users/**”).permitAll()
			  .antMatchers(“/shop/mypage”).hasRole(“USER”)
        .antMatchers("/shop/admin/pay").access("hasRole('ADMIN')");
				.antMatchers("/shop/admin/**").access("hasRole('ADMIN') or hasRole(‘SYS ')");
        .anyRequest().authenticated()
       }

 

• ** : 모든 하위 경로

⚠️설정 시 구체적인 경로가 먼저 오고 그것보다 큰 범위의 경로가 뒤에 오도록 해야 한다.

        .antMatchers("/shop/admin/pay").access("hasRole('ADMIN')");
	.antMatchers("/shop/admin/**").access("hasRole('ADMIN') or hasRole(‘SYS ')");

스프링 시큐리티는 위에서부터 아래로 인가처리를 하는데 해당 코드를 보면 아래 코드가 위의 경로를 포함하고 있다.

아래쪽이 먼저 작성하면 SYS권한을 가진 역할이 /shop/admin/pay에 접근할 수 있게 된다.

 

 

인가 API

• anonymous는 익명 사용자만 접근이 가능하기 때문에 USER로 지정된 사용자는 접근이 불가능하다. 모든 사람이 볼 수 있도록 하려면 permitAll() 설정을 해줘야 한다.

 

메모리 방식으로 사용자 생성

 

SecurityConfig

@Bean
public static UserDetailsManager users() {

    UserDetails user = User.builder()
            .username("user")
            .password("{noop}1111")
            .roles("USER")
            .build();

    UserDetails sys = User.builder()
            .username("sys")
            .password("{noop}1111")
            .roles("SYS")
            .build();

    UserDetails admin = User.builder()
            .username("admin")
            .password("{noop}1111")
            .roles("ADMIN", "SYS", "USER")
            .build();

    return new InMemoryUserDetailsManager( user, sys, admin );
}

@Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {

        http
                .authorizeHttpRequests()
                .antMatchers("/user").hasRole("USER")
                .antMatchers("/admin/pay").hasRole("ADMIN")
                .antMatchers("/amin/**").hasRole("hasRole('ADMIN') or hasRole('SYS')")
                .anyRequest().authenticated();

        return http.build();
    }

• USER는 /user에만 접근 가능
• SYS권한은 admin은 가능하고 admin/pay는 불가능함
• ADMIN권한은 /admin 모두 가능

 

실제 운영 방식은 메모리로 말고 동적으로 DB를 사용해야 됨. 메모리 방식은 그냥 테스트 용도로만!

 

---

 

해당 글은 인프런의 스프링시큐리티-Spring Boot 기반으로 개발하는 Spring Security를 보고 작성한 글입니다.