Spring Security @PreAuthorize @Secured 사용법

Spring Security에서의 권한 별 접근은 아래 source 처럼 대부분 configure(HttpSecurity http)에 설정을 하여 관리를 하게 됩니다.

@Override    protected void configure(HttpSecurity http) throws Exception {       http.httpBasic().and().authorizeRequests()         .antMatchers("/").permitAll()         .antMatchers("/page2").hasRole("ADMIN")         .antMatchers("/page1").hasRole("USER")         .anyRequest().authenticated()         .and().logout().permitAll()         .and().formLogin()         .and().csrf().disable();   }

다른 방법을 찾아보면 Controller에 annotation을 추가하여 관리하는 방법도 있는데 이것이 @PreAuthorize, @PostAuthorize, @Secured 입니다.  사용 방법도 너무나 간단한데 권한 설정이 필요한 위치에 @PreAuthorize("hasRole('ROLE_ADMIN')") 이런식으로 어노테이션을 추가해 주면 권한 별로 접근을 통제 하게 됩니다.  예를 들자면...

@PreAuthorize("hasRole('ROLE_ADMIN')")     @RequestMapping("/preRole1")     public @ResponseBody String preRole1() throws Exception {                           return "@PreAuthorize : get role ROLE_ADMIN";     }

위에있는 예제처럼 추가를 하였는데 아무런 작동을 하지 않는다면 @PreAuthorize와 @Secured의 사용은 처음에는 비활성화 되어 있어서 사용 하려면 설정을 해줘야 됩니다.  이것도 아주 간단 한데 Configure 클래스 파일 상단에 아래 코드를 추가해 주기만 하면 활성화 됩니다.

@EnableGlobalMethodSecurity(securedEnabled = true, prePostEnabled = true)

테스트

몇가지 예를 들어 간단하게 테스트를 해보겠습니다.

 

copycoding은 ADMIN 권한이고 honggil이는 USER 권한을 가지도록 configure에 설정을 합니다.

@Autowired  public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {     auth.inMemoryAuthentication()         .withUser("copycoding").password(passwordEncoder().encode("copycopy")).roles("ADMIN");     auth.inMemoryAuthentication()         .withUser("honggil").password(passwordEncoder().encode("hoho")).roles("USER");  }

Method에는 annotation을 사용하여 각 권한 별로  접근 설정을 합니다.

@PreAuthorize("hasRole('ROLE_ADMIN')")  @RequestMapping("/preRole1")  public @ResponseBody String preRole1() throws Exception {                              return "@PreAuthorize : get role ROLE_ADMIN";  }          @PreAuthorize("hasRole('ROLE_USER')")  @RequestMapping("/preRole2")  public @ResponseBody String preRole2() throws Exception {                               return "@PreAuthorize : get role ROLE_USER";  }          @Secured("ROLE_ADMIN")  @RequestMapping("/secRole1")  public @ResponseBody String secRole1() throws Exception {                               return "@Secured : get role ROLE_ADMIN";  }    @Secured("ROLE_USER")  @RequestMapping("/secRole2")  public @ResponseBody String secRole2() throws Exception {                               return "@Secured : get role ROLE_USER";  }

@PreAuthorize 테스트

ADMIN 권한이 있는 copycoding으로 로그인을 진행 합니다.

로그인이 성공 하면 http://localhost:9090/preRole1 에 접속해 봅니다. 

접근 권한이 있으니 접근을 할 수 있습니다.

그러면 이번엔 http://localhost:9090/preRole2 에 접속 합니다.

ADMIN만 접근 가능하니 USER 권한으로는 접근이 불가능 합니다. 

 

@Secured 테스트

 

USER 권한이 있는 honggil로 로그인을 하고 http://localhost:9090/secRole1 를 호출 합니다.

ADMIN만 접근 권한이 있으므로 접속이 차단 됩니다.

 

이번엔 http://localhost:9090/secRole2에 접속하면

USER 권한을 가지고 있어 접속이 가능 합니다.

configure를 이용하는 방법과 annotation을 이용하는 방법의 차이는 접근 권한을 한곳에서 관리 하느냐 여러곳에서 필요에 따라 관리하느냐 하는 관리적인 관점의 차이인데 프로젝트에 따라서 선택을 하던가 적절히 섞어서 사용 하던가 하면 될것 같습니다.

 

@PreAuthorize 와 쌍으로 @PostAuthorize 도 있습니다.  차이점은 @PreAuthorize 는 말 그대로 실행 전에 권한을 검사하는 거고 @PostAuthorize 는 실행 후 권한을 검사하는 건데 이것도 필요에 따라 선택을 하면 되겠죠.

전체 소스

WebSecurityConfigurerAdapter

package com.copycoding.security;   import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder; import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder; import org.springframework.security.crypto.password.PasswordEncoder;   @Configuration @EnableWebSecurity @EnableGlobalMethodSecurity(securedEnabled=true, prePostEnabled=true) public class WebSecurityConfig extends WebSecurityConfigurerAdapter {           @Override         protected void configure(HttpSecurity http) throws Exception {                http.httpBasic().and().authorizeRequests()         .antMatchers("/").permitAll()         .antMatchers("/page2").hasRole("ADMIN")         .antMatchers("/page1").hasRole("USER")         .anyRequest().authenticated()         .and().logout().permitAll()         .and().formLogin()         .and().csrf().disable();         }                 @Autowired         public void configureGlobal(AuthenticationManagerBuilder auth) throws Exception {                auth.inMemoryAuthentication()                        .withUser("copycoding").password(passwordEncoder().encode("copycopy")).roles("ADMIN");                auth.inMemoryAuthentication()                        .withUser("honggil").password(passwordEncoder().encode("hoho")).roles("USER");         }                 @Bean     public PasswordEncoder passwordEncoder() {         return new BCryptPasswordEncoder();     } }

Controller

package com.copycoding.security;   import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpSession;   import org.springframework.security.access.annotation.Secured; import org.springframework.security.access.prepost.PreAuthorize; import org.springframework.web.bind.annotation.RequestMapping; import org.springframework.web.bind.annotation.ResponseBody; import org.springframework.web.bind.annotation.RestController;   @RestController public class TestController {                 @RequestMapping("/")     public @ResponseBody String home() throws Exception {                  return "Spring Boot ";         }                 @RequestMapping("/page1")     public @ResponseBody String pageNo1(HttpSession session, HttpServletRequest request) throws Exception {                               System.out.println("pageNo1=========ROLE_ADMIN===========>" + request.isUserInRole("ROLE_ADMIN"));                System.out.println("pageNo1=========ROLE_USER============>" + request.isUserInRole("ROLE_USER"));                  return "Spring Boot : Page No 1";         }                 @RequestMapping("/page2")     public @ResponseBody String pageNo2(HttpSession session, HttpServletRequest request) throws Exception {                               System.out.println("pageNo2=======ROLE_ADMIN=============>" + request.isUserInRole("ROLE_ADMIN"));                System.out.println("pageNo1=======ROLE_USER==============>" + request.isUserInRole("ROLE_USER"));                               return "Spring Boot : Page No 2";         }                 @PreAuthorize("hasRole('ROLE_ADMIN')")         @RequestMapping("/preRole1")     public @ResponseBody String preRole1() throws Exception {                               return "@PreAuthorize : get role ROLE_ADMIN";         }                 @PreAuthorize("hasRole('ROLE_USER')")         @RequestMapping("/preRole2")     public @ResponseBody String preRole2() throws Exception {                               return "@PreAuthorize : get role ROLE_USER";         }                 @Secured("ROLE_ADMIN")         @RequestMapping("/secRole1")     public @ResponseBody String secRole1() throws Exception {                               return "@Secured : get role ROLE_ADMIN";         }           @Secured("ROLE_USER")         @RequestMapping("/secRole2")     public @ResponseBody String secRole2() throws Exception {                               return "@Secured : get role ROLE_USER";         } }

- copy coding -