인프런 커뮤니티 질문&답변

chaelynjang님의 프로필 이미지
chaelynjang

작성한 질문수

스프링 시큐리티 완전 정복 [6.x 개정판]

메서드 기반 Custom AuthorizationManager 구현

메소드 기반 커스텀 AuthorizationManager 구현 관련 질문

작성

·

123

0

안녕하세요 강사님

좋은 강의 감사드립니다.

해당 영상보면서 따라해보고 있는데 시큐리티 버젼이 달라서 그런건지 원인은 잘 알 수 없지만 @PreAuthorize(value="") 이렇게 설정하면 에러가 발생합니다.

image.png

 

제가 작성한 코드는 다음과 같은데 이유를 알 수 있을까요?

강의와 다른점은 저는 @PreAuthorize 어노테이션을 컨트롤러에 선언했습니다.

확인해주시고 답변 주시면 정말 감사드리겠습니다.

@Configuration
@EnableWebSecurity
@EnableMethodSecurity(prePostEnabled = false)
public class CustomMethodAuthorizationManagerConfig {
    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http.authorizeHttpRequests(auth -> auth
                        .anyRequest().authenticated())
                .formLogin(Customizer.withDefaults())
                .csrf(AbstractHttpConfigurer::disable)
        ;
        return http.build();
    }
}
@EnableMethodSecurity(prePostEnabled = false)
@Configuration
public class MethodSecurityConfig {
    @Bean
    @Role(BeanDefinition.ROLE_INFRASTRUCTURE)
    public Advisor preAuthorize() {
        return AuthorizationManagerBeforeMethodInterceptor.preAuthorize(new MyPreAuthorizationManager());
    }

    @Bean
    @Role(BeanDefinition.ROLE_INFRASTRUCTURE)
    public Advisor postAuthorize() {
        return AuthorizationManagerAfterMethodInterceptor.postAuthorize(new MyPostAuthorizationManager());
    }

}

MyPostAuthorizationManager와 MyPreAuthorizationManager는 강의의 코드와 동일합니다.

@RestController
@RequestMapping("/method/custom")
@RequiredArgsConstructor
public class CustomMethodController {
    @GetMapping("/admin")
    @PreAuthorize(value = "")
    public String admin() {
        return "admin";
    }
    @GetMapping("/user")
    @PostAuthorize(value = "isAuthenticated()")
    public MethodAccountDTO user(String name) {
        return new MethodAccountDTO(name, false);
    }
}

답변 2

0

정수원님의 프로필 이미지
정수원
지식공유자

전체 코드를 공유해 주시면 제가 테스트 해 보겠습니다.

0

안녕하세요, 인프런 AI 인턴입니다.

문제 해결을 위해 분석한 바에 따르면, @PreAuthorize(value = "") 어노테이션을 사용할 때 발생하는 에러는 "expressionString must not be null or blank"로, expressionString이 null이거나 blank일 경우 발생하는 것으로 보입니다. @PreAuthorize 어노테이션에 빈 값이 설정된 것이 문제의 원인으로 보입니다.

Spring Security의 @PreAuthorize 어노테이션을 사용할 때에는 권한 검사를 위한 SpEL(Spring Expression Language) 표현식을 반드시 포함해야 합니다. 예를 들어, 특정 권한을 가진 사용자만 메서드를 호출할 수 있도록 하려면 @PreAuthorize("hasAuthority('ROLE_ADMIN')")과 같이 권한을 지정해야 합니다. 사용자가 인증되었는지 여부만 검사하려면 @PreAuthorize("isAuthenticated()")를 사용할 수 있습니다.

문제가 발생한 코드를 보면, @PreAuthorize(value = "")에서 expressionString으로 아무 값도 주어지지 않았습니다. 이는 Spring Security가 해당 표현식을 해석할 때, 유효한 표현식이 아니라고 판단하여 IllegalArgumentException을 발생시키는 원인입니다.

다음은 수정해야 할 부분에 대한 제안입니다:

  1. @EnableMethodSecurity 세팅 확인:
@EnableMethodSecurity(prePostEnabled = true)

prePostEnabled 속성을 true로 설정하여 @PreAuthorize@PostAuthorize 어노테이션을 활성화해야 합니다. 현재 코드에서는 false로 설정되어 있어 해당 어노테이션들이 제대로 작동하지 않습니다.

  1. @PreAuthorize 사용 수정:
@GetMapping("/admin")
@PreAuthorize("isAuthenticated()")

@PreAuthorize 어노테이션의 value 값에 유효한 표현식을 제공해야 합니다. 예를 들어, 사용자가 인증되었는지만 확인하려면 "isAuthenticated()"와 같이 설정할 수 있습니다.

위 두 가지 사항을 수정 후 다시 시도해 보시길 권장합니다.

혹시 이 외에도 추가적인 문제가 발생하거나, 스프링 시큐리티 설정에 대한 더 자세한 설명이 필요한 경우, 스프링 시큐리티 공식 문서 또는 인프런 강의 내 다른 챕터의 정보를 참고하는 것이 도움이 될 것입니다.

저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다.
현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏
추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.

chaelynjang님의 프로필 이미지
chaelynjang

작성한 질문수

질문하기