SecurityConfiguration class

WebSecurityConfigurerAdapter을 extends하여 spring security에 전반적인 설정을 셋팅하는 설정하는 SecurityConfiguration class를 구현.

1. 인증을 요구하는 설정

• configure Mathod를 Overriding 하여 web.ignoring().mvcMatchers() 통해 정적 자원들을 Filter를 지나지 않도록 설정.
• 주로 파비콘을 Filter에 지나지 않기 위해 많이 쓰인다.

@Override
    public void configure(WebSecurity web) throws Exception {
        web.ignoring().mvcMatchers("/resources/**");
    }

2. 모든 Requset에 인증을 요구하는 설정

• http.csrf().disable()사용함으로써 ajax의 post requset를 돕기 위해 csrf token을 잠시 중지. 이 경우 해킹의 위험성을 초래하기에 다른 방법으로 구현해야 한다.
• authorizeRequests 선언 후 로그인 페이지와 권한이 없는 비 로그인 상태의 유저도 로그인이 가능할 수 있도록 설정.
• User 와 Admin 의 권한을 나누기 위해 시작하는 URI로 권한 분리.
• authorize.anMachers()로 권한 설정. Admin,User,Anonymous(인증을 하지 않은 사용자)도 Login 과 Welcome page를 볼 수 있도록 설정.

private final String[] ALLOW_AUTH_URI_PATTERN = {
      "/login/**",
      "/welcome"
    };

@Override
    protected void configure(HttpSecurity http) throws Exception {
        // Spring Security Filter Chain

         
				http.csrf().disable();

        // 모든 리퀘스트에 대해 인증을 요구하는 설정
        http.authorizeRequests(authorize -> {

            // 로그인 관련 페이지는 권한 없는 유저도 사용할 수 있어야 함(비로그인 상태 유저도 가능해야함)
            authorize.antMatchers("/login/**", "/signUp").anonymous();

            // start uri 에 따라 필요한 권한 설정
            authorize
                    .antMatchers(ALLOW_AUTH_URI_PATTERN).hasAnyRole("ADMIN", "USER", "ANONYMOUS")
                    .antMatchers("/admin/**").hasRole("ADMIN")
                    .antMatchers("/user/**").hasRole("USER");

        });

3. formLogin 기타 설정

• Login 성공 시 authenticationSuccessHandler, 실패시 authenticationFailureHandler 설정.
• Login Page URI 설정
• Spring Security에서 제공하는 username(id),password(password) Login page에 name attribute.