[SpringBoot 3.1.0 🆙] SpringSecurity 설정하기

프로젝트를 진행하면서, SpringBoot를 3.1.2 버전을 사용하게 되었다. 예전에 2.6 ~ 2.7.x 버전을 사용할때 JWT와 Security를 이용하여 유저 서비스를 만드는 포스팅이 있었는데 최신 버전의 SpringBoot와 Security를 사용한다면 해당 포스팅대로 구현할 수 없을 것 이다.

그래서 이번에는 SpringBoot 3.1.2 버전과 SpringSecurity의 6.1 버전을 이용해 JWT와 Security를 한꺼번에 다뤄보는 포스팅을 다루려 한다.

이번 파트는 SpringSecurity 이다.

---

🧐 간단하게 구현해보기

// dependency
implementation 'org.springframework.boot:spring-boot-starter-security'
testImplementation 'org.springframework.security:spring-security-test'

build.gradle에 의존성을 주입하는 부분은 크게 다를 것 없다.

기존 Security 설정을 적용하기위해 SecurityConfig라는 클래스를 만들어주었었는데, 이번에도 마찬가지로 만들 것 이다. 다만, 2.x.x 코드와 비교해가면서 살펴보도록 하자.

SpringBoot 2.6.x ~

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(prePostEnabled = true)
@RequiredArgsConstructor
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    private final CorsFilter corsFilter;

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Override
    protected void configure(HttpSecurity httpSecurity) throws Exception {
        httpSecurity
                .csrf().disable()

                .addFilterBefore(corsFilter, UsernamePasswordAuthenticationFilter.class)

                .sessionManagement()
                .sessionCreationPolicy(SessionCreationPolicy.STATELESS)

                .and()
                .authorizeRequests()
                .antMatchers("/test","/auth","/auth/login","/docs","/test","/health","/auth/check").permitAll()
                .antMatchers("/docs/**").permitAll()
                .antMatchers("/docs/index.html").permitAll()
                .anyRequest().authenticated();

    }
}

Jwt를 적용하기 전의 2.6.x 버전의 SecurityConfig 클래스이다. WebSecurityConfigurerAdapter라는 인터페이스를 상속받아 오버라이딩한 함수 내부에서 Security와 관련된 설정을 해주었었는데, 방법이 달라졌다.

또한 and() 와 같은 non-lamda DSL methods 들이 전부 deprecated 되었다. 이제는 lamda-DSL로 설정을 구성하게 되었다.

왜 이렇게 됐는지 궁금하면 아래의 문서를 살펴보도록 하자 🤨

https://docs.spring.io/spring-security/reference/migration-7/configuration.html

SpringBoot 3.1.x ~

@Configuration
@EnableWebSecurity
@EnableMethodSecurity
@RequiredArgsConstructor
public class SecurityConfig {

    private final CorsFilter corsFilter;

    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http
                .csrf(AbstractHttpConfigurer::disable)
                .addFilterBefore(corsFilter, UsernamePasswordAuthenticationFilter.class)
                .sessionManagement(session -> session
                        .sessionCreationPolicy(SessionCreationPolicy.STATELESS)
                )
                .authorizeHttpRequests(request -> request
                        .requestMatchers(
                                "/version", "/login/google"
                        )
                        .permitAll()
                )
                .authorizeHttpRequests(request -> request.anyRequest().authenticated())

        return http.build();
    }
}

딱봐도 뭔가 많이 바뀐 것 같긴하다... 그래서 설명을 곁들이자면

1. @EnableGlobalMethodSecurity(prePostEnabled = true)도 deprecated 된다고 한다.
   • 해결 방법으로는 @EnableMethodSecurity를 사용해주면된다. 기본값이 true이기 때문에 굳이 지정해주지 않아도 된다.

2. WebSecurityConfigurerAdapter 인퍼테이스를 상속받지 않는다.
   • SecurityFilterChain 인터페이스 함수를 하나 만들어서 그 안에서 기존에 설정했던 코드를 구현한 후 Bean으로 등록해준다.

3. 설정 코드를 구현하는 방식이 non-lamda-DSL에서 lamda-DSL로 변경되었다.

이게 그래도 코드 전체가 많이 바뀐 것 같아도, 구현하는 방식이 틀려진건 아니기에 기존의 코드를 쉽게 수정할 수 있다.

---

Security 2.6.x ~ 부터 사용하다보니 익숙해져서 쉽게 바꿀 수 있을까 했는데, 그래도 공식문서나 여러 자료들이 많아 버전이 높아져도 쉽게 바꿀 수 있었다. andDo()를 사용하는 non-lamda 방식이 사실 필자의 경우 그닥 좋지 않았는데, lamda 형식을 사용하게 바뀌게 되면서 뭔가 더 좋아진 것 같다(?)

아무튼 이번 포스팅도 여기서 끝! 다음에는 JWT 까지 같이 사용해보쟈