인프런 커뮤니티 질문&답변
작성한 질문수
다중 설정 클래스 작성 시 FilterSecurityInterceptor 적용 질문
작성
·
298
0
안녕하세요 강의를 보는 중에 궁금중이 생겨서 질문 드립니다.
1 번 질문
WebSecurityConfigurerAdapter 를 이용해서 설정 클래스를 두개 만든 경우 강의 기준으로 SecurityConfig, AjaxSecurityConfig 2개의 설정이 존재할 때 SecurityConfig 여기에는
customFilterSecurityInterceptor 인터셉터가 적용이 되고
AjaxSecurityConfig 에는 스프링 시큐리티에서 제공하는 FilterSecurityInterceptor 가 적용이 되는게 맞는지 질문드립니다.
2 번 질문
위와 같은 2개의 설정클래스가 있는 경우에 보안 필터에서 정적 자원을 무시하려면 web.ignoring() 설정이 둘 다 필요한지 궁금합니다.
3 번 질문
강의에서 구현하신 SecurityResourceService 의 경우 @Service 대신 @Bean 을 따로 하신 이유가 있는 지 궁금합니다.
답변 2
0
0
1 번 질문
네 맞습니다
보안 Filter 들은 WebSecurityConfigurerAdapter 를 구현하는 설정클래스마다 각 생성되고 실행되기 때문에 요청의 기준에 맞는 필터들이 별도 작동하게 됩니다.
2번질문
web.ingnoring() 도 설정 클래스마다 생성이 됩니다.
다만 한가지 기억하실 부분은 만약 두개의 설정클래스에서 web.ingnoring() 을 설정했다면 이 설정 값들은 FilterChainProxy 클래스가 리스트 형태로 가지고 있고 사용자의 요청을 처리할 때 이 값들을 사용해서 보안을 탈 것인지 무시할 것인지 결정하기 때문에 두개의 설정클래스에 동일한 값을 설정하는 것은 아무런 의미가 없고 설정 클래스마다 다른 값들을 설정할 경우에만 의미를 가집니다.
private List<Filter> getFilters(HttpServletRequest request) {
for (SecurityFilterChain chain : filterChains) {
if (chain.matches(request)) {
return chain.getFilters();
}
}
return null;
}
FilterChainProxy 의 일부인데 filterChains 에 두개의 설정클래스에서 설정한 web.ingnoring()의 값들이 들어가 있는데 요청한 정보가 web.ignoring() 에서 설정한 값과 일치할 경우에는 빈 필터목록을 리턴(chain.getFilters() 이 빈값) 하기 때문에 스프링 시큐리티의 보안 필터를 타지 않도록 처리하고 있습니다.
그렇기 때문에 굳이 동일한 값이라면 각 설정클래스마다 web.ingnoring() 을 선언하실 필요가 없고 한 곳에만 설정하시면 됩니다.
3번 질문
특별한 이유는 없습니다.
빈생성하는 여러가지 방법중 하나를 한 것입니다
어떤 것으로 해도 무방합니다.