반응형

이번에는 필요없는 필터는 없애고 최적화를 진행하기 위해 Security Config를 리팩토링 했다.

 

 

1. SecurityConfig 리팩토링

  • 앞의 게시글을 확인해보면 작성한 코드가 있기에 변경된 메서드만 설명하겠다.
  • 일단 나는 ssl(서버 사이드 랜더링)이기 때문에 에러페이지, 메인페이지, 회원가입, 로그인, 정적 리소스는 모두 접근을 허가해줬다.
  • 여기서 특히 바뀐건 addFilterBefore() 이것이다. jwtAuthorizationFilter 다음 바로 customAuthenticationFilter로 가도록 했다.
@Bean
public SecurityFilterChain filterChain(
        HttpSecurity http,
        CustomAuthenticationFilter customAuthenticationFilter,
        JwtAuthorizationFilter jwtAuthorizationFilter
) throws Exception {
    log.debug("[+] WebSecurityConfig Start !!! ");
    return http
            .httpBasic(AbstractHttpConfigurer::disable)
            .csrf(AbstractHttpConfigurer::disable)
            .cors(cors -> cors.configurationSource(corsConfigurationSource()))
            .authorizeHttpRequests(authorize -> authorize
                    .dispatcherTypeMatchers(DispatcherType.FORWARD).permitAll()
                    .requestMatchers(
                            new AntPathRequestMatcher("/main/rootPage"),
                            new AntPathRequestMatcher("/error.html"),
                            new AntPathRequestMatcher("/signUp/form"),
                            new AntPathRequestMatcher("/signUp/action/createUser"),
                            new AntPathRequestMatcher("/images/**"),
                            new AntPathRequestMatcher("/css/**"),         // 정적 리소스의 jwt필터 접근 로그가 남지만 실제로 필터가 돌아가지 않고 바로 다음으로 넘어가니 로그에 남는다고 신경쓰지 말자
                            new AntPathRequestMatcher("/js/**"),
                            new AntPathRequestMatcher("/login"),
                            new AntPathRequestMatcher("/favicon.ico"),
                            new AntPathRequestMatcher("/")
                    ).permitAll()
                    .anyRequest().authenticated()
            )
            .sessionManagement(session -> session.sessionCreationPolicy(SessionCreationPolicy.STATELESS))
            .addFilterBefore(jwtAuthorizationFilter, UsernamePasswordAuthenticationFilter.class)
            .addFilterBefore(customAuthenticationFilter, JwtAuthorizationFilter.class)
            .build();
}

 

 

 

2023.09.04 - [SpringBoot 개발/Spring Security] - Spring Boot 3.1 & Spring Security 6: JWT 검증 리팩토링 (11편)

 

Spring Boot 3.1 & Spring Security 6: JWT 검증 리팩토링 (11편)

JWT 필터 스프링 시큐리티 코드 리팩토링을 진행했다. 1. JwtAuthorizationFilter 클래스를 리팩토링 했다. 기존에는 한줄로 이루어져있던 코드를 extract method로 각각 역할별로 추출했다. import com.fasterxml.

curiousjinan.tistory.com

 

반응형

'Spring > Spring Security' 카테고리의 다른 글

Spring Security6 - Authentication(인증)  (1) 2023.10.21
Spring Security와 CORS: 크로스 도메인 요청 처리 기법 알아보기  (0) 2023.10.21
Spring Boot 3.1 & Spring Security 6: JWT 검증 리팩토링 (11편)  (2) 2023.09.04
Spring Security 6 이해하기: 동작 원리와 보안 기능 탐구  (0) 2023.09.04
Spring Boot 3.1 & Spring Security 6: 로그인 프로세스 및 JWT 토큰 동작 설명 (10편)  (0) 2023.08.08

티스토리툴바