스프링부터 3.0 부터 시큐리티 설정 방법이 변경되었습니다.
(Spring security 6.0 버전 부터)
현재 프로젝트 : v 5.7.8

• 주로 사용하는 Bean종류

@Bean
public UserDetailsService userDetailsService()

@Bean
public PasswordEncoder passwordEncoder()

@Bean
public SecurityFilterChain filterChain(HttpSecurity http)

@Bean
public WebSecurityCustomizer webSecurityCustomizer()

---

Gradle

implementation 'org.springframework.boot:spring-boot-starter-security'

의존성 추가 시 모든 경로에서 로그인화면이 보이게 된다.

❗ Application Class에 추가하면 Security 기능을 끌 수 있다.

@SpringBootApplication(exclude = SecurityAutoConfiguration.class)

비회원/회원의 접근 가능한 페이지에 대해 Spring Security 설정을 추가해보자!

---

🤖 Spring Security 설정

• 메서드의 이름을 filterChain으로 지정하면 Spring이 해당 빈을 자동으로 인식하고 처리
• @Configuration, @EnableWebSecurity 어노테이션 설정
  : 보안 설정 활성화
• Spring Security의 대부분의 설정은 HttpSecurity로 이루어집니다.
  • URL 접근 권한 설정부터 인증
  • 로그아웃 페이지 인증 성공 및 실패 시 페이지 이동
  • 커스텀 인증 로직은 위한 커스텀 필터 설정
  • csrf 보호, https 강제 호출 등

---

👩🏻‍💻 code

JwtAuthFilter

// 클라이언트가 전송한 토큰을 검사하는 필터
@Component
@Slf4j
@RequiredArgsConstructor
public class JwtAuthFilter extends OncePerRequestFilter {
  private final TokenProvider tokenProvider;

  // 필터가 해야할 작업을 기술
  @Override
  protected void doFilterInternal(
      HttpServletRequest request,
      HttpServletResponse response,
      FilterChain filterChain) throws ServletException, IOException {

    try {
      String token = parseBearerToken(request);
      log.info("Jwt Token Filter is running... - token: {}", token);

      // 토큰 위조검사 및 인증 완료 처리
      if (token != null) {
        // 토큰 서명위조 검사와 토큰을 파싱해서 클레임을 얻어내는 작업
        TokenUserInfo userInfo
            = tokenProvider.validateAndGetTokenUserInfo(token);
        // 인가 정보 리스트
        List<SimpleGrantedAuthority> authorityList
            = new ArrayList<>();
//        authorityList.add(new SimpleGrantedAuthority("ROLE_" + userInfo.getRole().toString()));

        // 인증 완료 처리
        // - 스프링 시큐리티에게 인증정보를
        //   전달해서 전역적으로 앱에서
        //   인증정보를 활용할 수 있게 설정
        AbstractAuthenticationToken auth
            = new UsernamePasswordAuthenticationToken(
            userInfo, // 컨트롤러에서 활용할 유저정보
            null, // 인증된 사용자의 비밀번호 - 보통 널값
            authorityList // 인가 정보(권한 정보)
        );
        // 인증완료 처리시 클라이언트의 요청정보 세팅
        auth.setDetails(new WebAuthenticationDetailsSource().buildDetails(request));
        // 스프링 시큐리티 컨테이너에 인증정보객체 등록
        SecurityContextHolder.getContext().setAuthentication(auth);
      }
    } catch (Exception e) {
      e.printStackTrace();
      log.error("토큰이 위조되었습니다.");
    }

    // 필터 체인에 내가 만든 필터 실행명령
    filterChain.doFilter(request, response);
  }

  private String parseBearerToken(HttpServletRequest request) {
    // 요청 헤더에서 토큰 가져오기
    // http request header
    // -- Content-type : application/json
    // -- Authorization : Bearer dshlkfsdhfiue#$23hdshf
    String bearerToken = request.getHeader("Authorization");

    // 요청 헤더에서 가져온 토큰은 순수토큰 값이 아니라
    // 앞에 Bearer 가 붙어있으니 이것을 제거하는 작업
    if (StringUtils.hasText(bearerToken)
        && bearerToken.startsWith("Bearer")) {
      return bearerToken.substring(7);
    }
    return null;
  }
}

WebSecurityConfig

@EnableWebSecurity
@RequiredArgsConstructor
// 자동 권한검사를 수행하기 위한 설정
@EnableGlobalMethodSecurity(prePostEnabled = true)
public class WebSecurityConfig {
  private final JwtAuthFilter jwtAuthFilter;
  // 시큐리티 설정
  @Bean
  public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {

    http
        .cors()
        .and()
        .csrf().disable()
        .httpBasic().disable()
        // 세션인증을 사용하지 않겠다
        .sessionManagement()
        .sessionCreationPolicy(SessionCreationPolicy.STATELESS)
        .and()
        // 어떤 요청에서 인증을 안할 것인지 설정, 언제 할 것인지 설정
        .authorizeRequests()
        .antMatchers(HttpMethod.PUT, "/api/auth/promote").authenticated()
        .antMatchers("/api/auth/load-profile").authenticated()
        .antMatchers("/", "/api/auth/**").permitAll()
//                    .antMatchers(HttpMethod.POST, "/api/todos").hasRole("ADMIN")
        .anyRequest().authenticated()
    ;

    // 토큰인증 필터 연결
    http.addFilterAfter(
        jwtAuthFilter
        , CorsFilter.class // import주의: 스프링꺼
    );

    return http.build();
  }
}