CORS + Role 기반 접근 제어 + 테스트

---

🌐 CORS Filter 설정

🔎 CORS란?

• CORS (Cross-Origin Resource Sharing)
  클라이언트와 서버가 다른 출처(Origin)일 때, 요청을 허용할지 차단할지를 결정하는 메커니즘.
• 브라우저는 보안상 기본적으로 교차 출처 요청을 차단합니다.
• 백엔드 서버에서 CORS Filter를 설정하면, 허용된 Origin에 대해 요청을 열어줄 수 있습니다.

---

⚙️ CORS Filter 추가

SecurityConfig 클래스에 CorsConfigurationSource를 등록합니다.

@Bean
public CorsConfigurationSource corsConfigurationSource() {
    UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
    CorsConfiguration config = new CorsConfiguration();

    // 허용할 Origin (특정 도메인만 허용 가능)
    config.setAllowedOrigins(Arrays.asList("http://localhost:5173","http://localhost:3000"));
    // 모든 HTTP 메서드 허용
    config.setAllowedMethods(Arrays.asList("*"));
    // 모든 Header 허용
    config.setAllowedHeaders(Arrays.asList("*"));

    config.setAllowCredentials(false);
    config.applyPermitDefaultValues();

    source.registerCorsConfiguration("/**", config);
    return source;
}

✅ * 로 설정하면 모든 Origin을 허용하지만, 실제 배포 환경에서는 특정 도메인만 명시하는 것이 안전합니다.

---

🔧 filterChain 수정

HttpSecurity 설정에서 .cors(withDefaults())를 추가합니다.

@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
    http.csrf(csrf -> csrf.disable())
            .cors(withDefaults()) // ✅ cors 설정 추가
            .sessionManagement(sessionManagement ->
                    sessionManagement.sessionCreationPolicy(SessionCreationPolicy.STATELESS))
            .authorizeHttpRequests(auth -> auth
                    .requestMatchers(HttpMethod.POST, "/login").permitAll()
                    .anyRequest().authenticated())
            .addFilterBefore(authenticationFilter, UsernamePasswordAuthenticationFilter.class)
            .exceptionHandling(exceptionHandling ->
                    exceptionHandling.authenticationEntryPoint(exceptionHandler));
    return http.build();
}

---

🔑 Role-Based Protection (권한 분리)

📌 AppUser Entity

• 유저는 role 필드를 가집니다. ("USER", "ADMIN")
• Spring Security는 hasRole() 메서드로 특정 엔드포인트 접근을 제한할 수 있습니다.

---

⚙️ 엔드포인트 권한 제어

@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
    http.csrf(csrf -> csrf.disable())
            .cors(withDefaults())
            .sessionManagement(sessionManagement ->
                    sessionManagement.sessionCreationPolicy(SessionCreationPolicy.STATELESS))
            .authorizeHttpRequests(auth -> auth
                    .requestMatchers("/admin/**").hasRole("ADMIN") // 관리자 전용
                    .requestMatchers("/user/**").hasRole("USER")   // 일반 사용자 전용
                    .anyRequest().authenticated())
            .addFilterBefore(authenticationFilter, UsernamePasswordAuthenticationFilter.class)
            .exceptionHandling(exceptionHandling ->
                    exceptionHandling.authenticationEntryPoint(exceptionHandler));
    return http.build();
}

✅ 보통은 USER < MANAGER < ADMIN 형태의 계층 구조를 설계합니다.

---

📌 메서드 수준 권한 제어

클래스나 메서드 위에 애너테이션을 붙여 세밀하게 제어할 수도 있습니다.

• @PreAuthorize("hasRole('ADMIN')")
• @Secured("ROLE_USER")

⚠️ 기본 설정에서는 비활성화되어 있으므로 @EnableMethodSecurity를 추가해야 합니다.

---

🧪 Spring Boot Test

Spring Boot에서는 spring-boot-starter-test로 테스트 환경을 제공합니다.
(JUnit, Mockito, AssertJ 기본 포함)

testImplementation 'org.springframework.boot:spring-boot-starter-test'
testRuntimeOnly 'com.h2database:h2'

---

🔬 테스트 종류

1. 단위 테스트 (Unit Test) → 메서드 단위 검증
2. 통합 테스트 (Integration Test) → 컴포넌트 간 상호작용 확인
3. 기능 테스트 (Functional Test) → 요구사항 충족 여부 검증
4. 회귀 테스트 (Regression Test) → 수정 후 기존 기능 정상 동작 여부 확인
5. 이용성 테스트 (Usability Test) → UX 관점에서 검증

---

✅ Repository 테스트 (CRUD 검증)

@DataJpaTest
class OwnerRepositoryTest {
    @Autowired
    private OwnerRepository ownerRepository;

    @Test
    @DisplayName("삭제 테스트")
    void deleteOwners() {
        ownerRepository.save(new Owner("팔백", "박"));
        ownerRepository.deleteAll();
        assertThat(ownerRepository.count()).isEqualTo(0);
    }
}

---

✅ Controller 테스트 (MockMvc 활용)

실제 서버를 띄우지 않고 HTTP 요청을 시뮬레이션.

@SpringBootTest
@AutoConfigureMockMvc
public class CarRestTest {
    @Autowired
    private MockMvc mockMvc;

    @Test
    @DisplayName("로그인 인증 테스트")
    public void testAuthentication() throws Exception {
        this.mockMvc.perform(post("/login")
                .content("{\"username\":\"admin\",\"password\":\"admin\"}")
                .header(HttpHeaders.CONTENT_TYPE, "application/json"))
                .andDo(print())
                .andExpect(status().isOk());
    }
}

---

✅ CarRepository 저장 테스트

@DataJpaTest
public class CarRepositoryTest {
    @Autowired
    private CarRepository carRepository;
    @Autowired
    private OwnerRepository ownerRepository;

    @Test
    @DisplayName("차량 저장 테스트")
    void saveCar() {
        Owner owner = new Owner("Gemini", "GPT");
        ownerRepository.save(owner);

        Car car = new Car("Ford", "Mustang", "Red", "ABCEDF", 2021, 567890, owner);
        carRepository.save(car);

        assertThat(carRepository.findById(car.getId())).isPresent();
        assertThat(carRepository.findById(car.getId()).get().getBrand()).isEqualTo("Ford");
    }
}

---

📌 정리

• 🌐 CORS Filter → 교차 출처 요청 제어 (보안 + 클라이언트 연결 허용)
• 🔑 Role-Based Protection → USER, ADMIN 역할에 따라 접근 권한 분리
• 🧪 테스트 코드 → Repository CRUD, Controller 요청을 실제처럼 검증