실전 프로젝트 - 인증 프로세스 Form 인증구현 8) 인증 부가... - 인프런

스프링 시큐리티

실전 프로젝트 - 인증 프로세스 Form 인증구현 8) 인증 부가 기능 시크릿 키 관련 오류 질문입니다.

해결된 질문

작성

302

secret_key 키가 다르고 예외도 정상적으로 들어가 지는데 로그인이 정상적으로 작동합니다. 여러 방법으로 고쳐보다가 전혀 이유를 알 수가 없어 이렇게 질문 남깁니다. 아 비밀번호 예외 처리는 정상적으로 작동합니다.

혹시 아래 캡쳐 소스가 부족하실 경우 깃허브 주소 Othkkartho/SpringSecurityLearn: 스프링 시큐리티 인프런 강의에 실전 프로젝트를 직접 해보는 프로젝트입니다. (github.com )

의 branches ch3.8이 현재 오류가 난 코드입니다. 좋은 강의 감사드립니다.

CustomAuthenticationProvider.java

providermanager.java

Spring Security spring-boot java

답변 1

정수원

지식공유자

네

제가 테스트 해보니까 이전 버전과 약간 다른 점이 있는 것 같습니다.

이전 버전에서는 CustomAuthenticationProvider 를 만들게 되면 ProviderManager 의 parent 속성에 DaoAuthenticationProvider 가 생성되지 않은 것으로 알고 있는데 지금은 내부 로직이 약간 달라져서 parent 속성에 DaoAuthenticationProvider 가 생성되는 바람에 CustomAuthenticationProvider 에서 예외를 던지더라도 ProviderManager 에서 예외를 잡기는 하지만 parent 속성에 있는 DaoAuthenticationProvider 를 다시 호출해서 인증처리를 하고 있습니다.

DaoAuthenticationProvider 는 아이디와 패스워드만 일치하면 인증처리가 되기 때문에 CustomAuthenticationProvider 의 결과에 상관없이 인증이 성공하게 됩니다.

그래서 이같은 경우에 다음과 같이 처리를 해야 할 것 같습니다.

@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
    AuthenticationManagerBuilder authenticationManagerBuilder = http.getSharedObject(AuthenticationManagerBuilder.class);
    authenticationManagerBuilder.authenticationProvider(authenticationProvider());
    authenticationManagerBuilder.parentAuthenticationManager(null);

위 코드에서

authenticationManagerBuilder.parentAuthenticationManager(null);

로 하면 ProviderManager 의 parent 속성을 제거해서 DaoAuthenticationProvider 가 다시 실행하지 않도록 합니다.

물론 이 방법이 최선일지는 잘 모르겠지만 이전버전과 구조가 달라진 부분으로 발생한 거라서 가장 효율적인 방안을 계속 찾아나가야 할 듯 합니다.

오스카르소

질문자

아 감사합니다. 해결되었습니다. 그런데 이렇게 버전이 달라져 생기는 문제의 해결 방법을 어떻게 찾으시는지 궁금합니다. 오류가 발생한 기능과 관련 라이브러리의 확인하거나 관련 공식 문서를 참조하시는 건가요?

인프런 커뮤니티 질문&답변

실전 프로젝트 - 인증 프로세스 Form 인증구현 8) 인증 부가 기능 시크릿 키 관련 오류 질문입니다.