[Security] 권한 처리 @PreAuthorize, @PostAuthorize, @Secured

Spring Security는 Filter를 통해 권한을 검사할 수도 있지만, 추가적으로 특정 URI에 접근할 때 권한을 검사하여 특정 권한만 해당 URI에 접근할 수 있도록 별도의 어노테이션을 지원합니다.

이런 어노테이션을 사용하기에 앞서 @Configuration이 붙은 설정파일에 아래와 같이 @EnableGlobalMethodSecurity 어노테이션을 추가적으로 설정하여 별도 권한처리 어노테이션의 활성화 여부를 지정해 주어야 합니다.

@EnableGlobalMethodSecurity

@Configuration
@EnableGlobalMethodSecurity(securedEnabled = true, // @Secured 활성화
                            prePostEnabled = true // @PreAuthorized 활성화, @PostAuthroized 활성화
)
public class SecurityConfig {

securedEnabled : @Secured 어노테이션 활성화 여부
prePostEnabled : @PreAuthorized, @PostAuthorized 어노테이션 활성화 여부

@Secured

@Secured(value = "ROLE_ADMIN")
@GetMapping("/info")
@ResponseBody
public String info() {
    return "개인정보";
}

일반적으로 컨트롤러의 메소드 레벨에 붙여 사용하는데, @Secured 같은 경우에는 컨트롤러에 매핑된 URI가 호출되면 메소드 실행 전, @Secured에 value의 권한을 갖는지 여부를 먼저 확인하고, 권한을 갖는 경우에만 해당 메소드를 실행합니다.

@PreAuthroize

// 2개 이상 걸고싶을때
@PreAuthorize("hasRole('ROLE_MANAGER') or hasRole('ROLE_ADMIN')")
@GetMapping("/data")
@ResponseBody
public String data() {
    return "데이터정보";
}

@Secured 와 달리 조건식을 사용하여 접근 레벨을 설정할 수 있습니다.

+ 조건식을 사용하기 때문에 AND, OR을 사용하여 접근레벨을 여러 개 설정할 수 있습니다.

표현식 종류

hasRole([role]) : 현재 사용자의 권한이 파라미터의 권한과 동일한 경우 true
hasAnyRole([role1,role2]) : 현재 사용자의 권한디 파라미터의 권한 중 일치하는 것이 있는 경우 true
principal : 사용자를 증명하는 주요객체(User)를 직접 접근할 수 있다.
authentication : SecurityContext에 있는 authentication 객체에 접근 할 수 있다.
permitAll : 모든 접근 허용
denyAll : 모든 접근 비허용
isAnonymous() : 현재 사용자가 익명(비로그인)인 상태인 경우 true
isRememberMe() : 현재 사용자가 RememberMe 사용자라면 true
isAuthenticated() : 현재 사용자가 익명이 아니라면 (로그인 상태라면) true
isFullyAuthenticated() : 현재 사용자가 익명이거나 RememberMe 사용자가 아니라면 true

@PostAuthorize

@PostAuthorize("isAuthenticated() and (( returnObject.name == principal.name ) or hasRole('ROLE_ADMIN'))")
@RequestMapping( value = "/{id}", method = RequestMethod.GET )
public Project getProject( @PathVariable("id") long id ){
    return service.findOne(id);
}

@PostAuthorize 어노테이션은 함수를 실행하고 클라이언트에게 응답을 하기 직전에 권한을 검사하는 어노테이션 입니다.

returnObject 예약어를 통해 메소드의 리턴 객체에 접근할 수 있습니다.

<참고 자료>

https://ggotae.tistory.com/entry/Secured-PreAuthorize-%EB%B9%84%EA%B5%90

@Secured, @PreAuthorize 비교

@Secured는 표현식 사용할 수 없고@PreAuthroize는 표현식 사용 가능 예)@Secured({"ROLE_USER","ROLE_ADMIN"}) => OR 조건, AND 조건 불가능 @PreAuthorize("hasRole('ROLE_USER') and hasRole('ROLE_ADMIN')") => and 조건, or 조건 모두

ggotae.tistory.com

https://steemit.com/kr-dev/@igna84/spring-security-preauthorize-postauthorize

https://bigdown.tistory.com/465

@Secured, @PreAuthorize, @PostAuthorize

활성화 방법 @Configuration @EnableWebSecurity @EnableGlobalMethodSecurity(securedEnabled = true, prePostEnabled = true) public class SecurityConfig extends WebSecurityConfigurerAdapter {...} @EnableGlobalMethodSecurity 어노테이션의 속성으로

bigdown.tistory.com

[Spring Security] @PostAuthorize 어노테이션

이 녀석도 아주 유용한 애노테이션입니다. @PreAuthorize랑 비슷하게 권한을 확인하지만, 차이점은 메서...

blog.naver.com

저작자표시

'📕 Java&Spring > Security' 카테고리의 다른 글

[Security] OAuth2.0 네이버, 카카오 로그인 기능 추가 (0)	2023.06.01
[Security] OAuth2.0 로그인 후처리 - 권한 부여, 데이터베이스 저장 (0)	2023.05.31
[Security] OAuth2.0을 이용한 소셜 로그인 (구글) (0)	2023.05.31
[Security] Security 회원가입, 로그인 (0)	2023.05.29
[Security] Spring Security란? (1)	2023.05.29

블로그의 정보

Study Repository

rlaehddnd0422

[Security] 권한 처리 @PreAuthorize, @PostAuthorize, @Secured

@EnableGlobalMethodSecurity

@Secured

@PreAuthroize

@PostAuthorize

'📕 Java&Spring > Security' 카테고리의 다른 글

블로그의 정보

활동하기

티스토리툴바

@EnableGlobalMethodSecurity

@Secured

@PreAuthroize

@PostAuthorize

'📕 Java&Spring > Security' 카테고리의 다른 글

블로그의 정보

활동하기

공유하기

다른 글

티스토리툴바