[SpringBoot] Spring Security: permitAll()이 동작하지 않음

Java/Spring

[SpringBoot] Spring Security: permitAll()이 동작하지 않음

벼리01 2024. 3. 27. 17:43

📌환경

IntelliJ Ultimate

Java 17

Spring boot 3.2.3

Gradle - Groovy

Dependencies:

Spring Web

Thymeleaf

Spring Data JPA

lombok

MariaDB 10.11

Spring Dev tool

Spring Security

📌문제

관리자 페이지를 의미하는 `/member`를 제외한 모든 url에 요청을 허용하려고 한다. 정적 리소스와 작성된 다른 url의 요청을 모두 허용하기 위해 다음과 같이 작성했다.

 http.csrf(AbstractHttpConfigurer::disable)
            .authorizeHttpRequests(request ->
                    request.requestMatchers(HttpMethod.POST, "/another/**")
                            .permitAll()
                            .requestMatchers(HttpMethod.GET, "/", "/another/**", "/member/login", "/css/**", "/img/**", "/js/**")
                            .permitAll()
                            .anyRequest()
                            .authenticated())
            .exceptionHandling(exceptionHandler -> exceptionHandler.accessDeniedHandler(accessDeniedHandler()));

먼저 테스트를 위해 임시로 csrf를 비활성화했다.

메인 페이지인 `/`와 `/another`의 하위 페이지의 접근을 `permitAll()`을 사용해 모두 허용했다.

로그인 페이지에 접근할 수 있도록 `/member/login`를 허용했다.

정적 리소스 또한 접근 제한을 해제하기 위해 `/css/**` `/img/**` `/js/**` 와 같이 설정했다.

이때 `GET` 요청으로 페이지에 접속했을 때 작성해둔 모든 페이지의 접근이 허용되었으나 `/another`에서 form을 보내기 위해 `POST` 방식으로 요청할 경우 access denied 에러가 발생했다.

문제는 다음과 같다.

1. 설정한 url에 대해 `GET` 방식으로 요청할 경우 접근이 허용되었으나 `GET` 이외의 모든 요청 방식에 대해 에러가 발생하였음.

2. 권한이 없으면 뒤로 튕겨나갈 수 있도록 403 handler 작성 후 설정해두었으므로 만약 403 에러가 발생한다면 해당 handler의 로직이 실행되어야 하지만, 요청을 허용하지 않은 다른 url처럼 로그인 페이지로 튕겨져 나왔음.

📌해결

`permitAll()`을 작성했음에도 다른 `filter`가 동작하는 문제로 보고, 처음부터 무시하기 위해 다음과 같은 설정을 추가했다.

  @Bean
    public WebSecurityCustomizer webSecurityCustomizer() {
        return (web -> web.ignoring()
            .requestMatchers(PathRequest.toStaticResources().atCommonLocations())
            .requestMatchers("/another/**"));
    }

그러나 해당 설정이 동작하지 않고 같은 오류가 지속적으로 발생했다.

`Controller`에 이미 `@PreAuthorize("hasRole('MEMBER')")`로 권한을 검증하고 있으므로, 권한이 필요한 페이지만 인증을 요구하고 다른 모든 페이지에는 로그인하지 않은 사용자도 접근을 허용할 수 있도록 로직을 변경하기로 했다.

    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {

        http.csrf(AbstractHttpConfigurer::disable)
                .authorizeHttpRequests(request ->
                        request.requestMatchers("/member/**")
                                .hasRole("MEMBER")
                                .anyRequest()
                                .anonymous()
                                )
                .exceptionHandling(exceptionHandler -> 
                		exceptionHandler.accessDeniedHandler(accessDeniedHandler()))
                .formLogin(formLogin -> 
                    	formLogin.loginPage("/member/login")
                        .loginProcessingUrl("/member/login")
                        .defaultSuccessUrl("/member")
                        .permitAll());
                
        return http.build();

    }

 request.requestMatchers("/member/**")
        .hasRole("MEMBER")

`requestMatcher`에 작성된 `/member/**` 의 하위 페이지에 대해서만 `MEMBER` 권한을 요구한다.

.anyRequest()
.anonymous()

다른 모든 페이지는 로그인하지 않은 사용자(anonymous)도 접근할 수 있도록 허용한다.

잘 동작하는 것을 확인할 수 있다.

이제 접근을 제어한 `/member`로 접속해보자.

`/member`로 접근할 경우 `member/login`으로 튕겨져 나가는 것을 확인할 수 있다.

'Java > Spring' 카테고리의 다른 글

[SpringBoot] 정적 리소스에 권한 요구하지 않기 (0)	2024.03.28
[SpringBoot] 페이지네이션(Pagination) (0)	2024.03.26
[Spring] 리다이렉션한 횟수가 너무 많습니다. (0)	2024.03.24
[Spring] 스프링 시큐리티(Spring Security) (0)	2024.03.21
[SpringBoot] Spring Security 사용 시 deprecated (0)	2024.03.16

🌟🌟🌟