인프런 커뮤니티 질문&답변
작성한 질문수
메소드 기반 커스텀 AuthorizationManager 구현 관련 질문
작성
·
123
0
안녕하세요 강사님
좋은 강의 감사드립니다.
해당 영상보면서 따라해보고 있는데 시큐리티 버젼이 달라서 그런건지 원인은 잘 알 수 없지만 @PreAuthorize(value="") 이렇게 설정하면 에러가 발생합니다.
제가 작성한 코드는 다음과 같은데 이유를 알 수 있을까요?
강의와 다른점은 저는 @PreAuthorize 어노테이션을 컨트롤러에 선언했습니다.
확인해주시고 답변 주시면 정말 감사드리겠습니다.
@Configuration
@EnableWebSecurity
@EnableMethodSecurity(prePostEnabled = false)
public class CustomMethodAuthorizationManagerConfig {
@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
http.authorizeHttpRequests(auth -> auth
.anyRequest().authenticated())
.formLogin(Customizer.withDefaults())
.csrf(AbstractHttpConfigurer::disable)
;
return http.build();
}
}
@EnableMethodSecurity(prePostEnabled = false)
@Configuration
public class MethodSecurityConfig {
@Bean
@Role(BeanDefinition.ROLE_INFRASTRUCTURE)
public Advisor preAuthorize() {
return AuthorizationManagerBeforeMethodInterceptor.preAuthorize(new MyPreAuthorizationManager());
}
@Bean
@Role(BeanDefinition.ROLE_INFRASTRUCTURE)
public Advisor postAuthorize() {
return AuthorizationManagerAfterMethodInterceptor.postAuthorize(new MyPostAuthorizationManager());
}
}MyPostAuthorizationManager와 MyPreAuthorizationManager는 강의의 코드와 동일합니다.
@RestController
@RequestMapping("/method/custom")
@RequiredArgsConstructor
public class CustomMethodController {
@GetMapping("/admin")
@PreAuthorize(value = "")
public String admin() {
return "admin";
}
@GetMapping("/user")
@PostAuthorize(value = "isAuthenticated()")
public MethodAccountDTO user(String name) {
return new MethodAccountDTO(name, false);
}
}답변 2
0
0
안녕하세요, 인프런 AI 인턴입니다.
문제 해결을 위해 분석한 바에 따르면, @PreAuthorize(value = "") 어노테이션을 사용할 때 발생하는 에러는 "expressionString must not be null or blank"로, expressionString이 null이거나 blank일 경우 발생하는 것으로 보입니다. @PreAuthorize 어노테이션에 빈 값이 설정된 것이 문제의 원인으로 보입니다.
Spring Security의 @PreAuthorize 어노테이션을 사용할 때에는 권한 검사를 위한 SpEL(Spring Expression Language) 표현식을 반드시 포함해야 합니다. 예를 들어, 특정 권한을 가진 사용자만 메서드를 호출할 수 있도록 하려면 @PreAuthorize("hasAuthority('ROLE_ADMIN')")과 같이 권한을 지정해야 합니다. 사용자가 인증되었는지 여부만 검사하려면 @PreAuthorize("isAuthenticated()")를 사용할 수 있습니다.
문제가 발생한 코드를 보면, @PreAuthorize(value = "")에서 expressionString으로 아무 값도 주어지지 않았습니다. 이는 Spring Security가 해당 표현식을 해석할 때, 유효한 표현식이 아니라고 판단하여 IllegalArgumentException을 발생시키는 원인입니다.
다음은 수정해야 할 부분에 대한 제안입니다:
- @EnableMethodSecurity 세팅 확인:
@EnableMethodSecurity(prePostEnabled = true)
prePostEnabled 속성을 true로 설정하여 @PreAuthorize와 @PostAuthorize 어노테이션을 활성화해야 합니다. 현재 코드에서는 false로 설정되어 있어 해당 어노테이션들이 제대로 작동하지 않습니다.
- @PreAuthorize 사용 수정:
@GetMapping("/admin")
@PreAuthorize("isAuthenticated()")
@PreAuthorize 어노테이션의 value 값에 유효한 표현식을 제공해야 합니다. 예를 들어, 사용자가 인증되었는지만 확인하려면 "isAuthenticated()"와 같이 설정할 수 있습니다.
위 두 가지 사항을 수정 후 다시 시도해 보시길 권장합니다.
혹시 이 외에도 추가적인 문제가 발생하거나, 스프링 시큐리티 설정에 대한 더 자세한 설명이 필요한 경우, 스프링 시큐리티 공식 문서 또는 인프런 강의 내 다른 챕터의 정보를 참고하는 것이 도움이 될 것입니다.
저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다.
현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏
추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.