[Spring Security] SecurityFilterChain 보안 설정 메소드 설명

// 특정 HTTP 요청에 대한 웹 기반 보안 구정
    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        return http
                .authorizeHttpRequests(auth -> auth   // 특정 경로에 대한 액세스 설정.
                        .requestMatchers("/login", "/signup", "/user").permitAll()
                        .anyRequest().authenticated())
                .formLogin(formLogin -> formLogin  // 폼 기반 로그인 설정
                        .loginPage("/login")
                        .defaultSuccessUrl("/articles")
                ).logout(logout -> logout  // 로그아웃 설정
                        .logoutSuccessUrl("/login")
                        .invalidateHttpSession(true)
                )
                .csrf(AbstractHttpConfigurer::disable)  // csrd 비활성화
                .build();
    }

 

내가 짠 코드는 위와 같음.

​

​

여기서 크게 보면

.authorizeHttpRequests()

.formLogin()

.logout()

.csrf()

이렇게 있음.

​

나오는 메소드들은 HttpSecurity 타입의 http 객체에 붙는 메소드들임.

HttpSecurity 객체를 구성하는 설정 옵션이라고 함.

​

authorizeHttpRequests(): 이 메서드는 URL 요청에 대한 접근 권한을 설정하는 보안 범위를 지정

formLogin(): 로그인 폼에 관련된 설정을 담당하는 보안 범위

logout(): 로그아웃과 관련된 설정을 담당하는 범위

---

 

< authorizeHttpRequests( ) >

.requestMatchers() : 특정 요청과 일치하는 URL에 대한 엑세스를 설정

.permitAll() : 누구나 인증,인가 없이 접근 가능하게

.anyRequest() : 위에서 설정한 URL 이외의 요청에 대해

.authenticated() : 인가는 필요X, 인증은 되어있어야 접근 가능

​

< formLogin( ) >

.loginPage() : 로그인 페이지의 경로를 설정

.defaultSuccessUrl() : 로그인 완료됐을때 이동할 경로

​

< logout( ) >

.logOutSuccessUrl() : 로그아웃 후 이동할 경로

.invalidateHttpSession() : 로그아웃 이후 세션을 전체 삭제할지 여부

​

< csrf( ) >

.csrf() : csrf 공격 방지하기 위해선 활성화해두는게 좋은데, 지금은 실습 중이니까 꺼두겠음

​