스프링 시큐리티-권한 부여(엑세스 제한)

권한 부여란?

식별된 클라이언트가 요청된 리소스에 엑세스할 권한이 있는지 시스템이 결정하는 프로세스

스프링 시큐리티에서 애플리케이션은 인증 흐름을 완료한 후 요청을 권한 부여 필터에 위임,

필터는 구성된 권한 부여 규칙에 따라 요청을 허용하거나 거부

 

userDetailsService로 사용자 세부정보 검색,

UserDetails의 getAuthorities()메서드는 여러개의 GrantedAuthority를 컬렉션으로 가진다.

 

 

권한 부여 예제

@RestController
public class HelloController {

	
	@GetMapping("/hello")
	public String hello() {
		return "Hello!";
	}
}

/hello 엔드포인트에 접근했을 때  "Hello!"를 리턴하는 간단한 컨트롤러 입니다.

 

@Configuration
public class ProjectConfig {

	@Bean
	public UserDetailsService userDetailsService() {
		var manager=new InMemoryUserDetailsManager();
		
		var user1=User.withUsername("john")
				.password("12345")
				.authorities("READ")
				.build();
		
		var user2=User.withUsername("jane")
				.password("12345")
				.authorities("WRITE")
				.build();
		
		manager.createUser(user1);
		manager.createUser(user2);
		
		return manager;
	}
	
	@Bean
	public PasswordEncoder passwordEncoder() {
		return NoOpPasswordEncoder.getInstance();
	}
	
	
	@Bean
    public SecurityFilterChain filterChainV3(HttpSecurity http) throws Exception {
	   http.httpBasic();
       http.authorizeRequests().anyRequest().hasRole("READ");
       
            
        return http.build();
    }
}

john에게는 READ권한을 부여하고 jane에게는 WRITE권한을 부여

현재 모든 엔드포인트는 "READ"권한을 가진 사용자만 접근 가능

->사용자 john은 접근 가능하지만 jane은 접근 불가능

 

 

 

참고:스프링 시큐리티 인 액션