[Spring] Spring Security - Method Security

Back-End 작업실/Spring Framework

[Spring] Spring Security - Method Security

주니쓰🧑‍💻 2022. 3. 30. 08:00

728x90

🚀 Spring Security - Method Security

🔽 개요

`Spring Seucrity`는 Web 기반 Security도 있지만, `Method Security`라는 기능도 제공하는 것이에요.

이것은 `Service Layer`를 직접 호출할 때, 이용할 수 있는 보안 기능인 것이에요. Web 기반의 Security를 적용했을때는 어울리지 않는 기능인 것이에요.

또한, `Web Application` 외에 `Desktop Application`에도 적용이 가능한 것이에요.

🔽 EnableGlobalMethodSecurity

`MethodSecurity`는 `SecurityConfig`설정이 적용되지 않는 것이에요.

`MethodSecurity`용 설정이 따로 필요한데 이 때 이용하는 것이 `@EnableGlobalMethodSecurity`인 것이에요.

📦 속성들

SecuredEnable	prePostEnabled	jsr250Enabled
@Secured를 이용하여 인가 처리를 하고 싶을 때 사용하는 Option	@PreAuthorize, @PostAuthorize를 이용하여 인가 처리를 하고 싶을 때 사용 하는 Option	@RolesAllowed를 이용하여 인가 처리를 하고 싶을 때, 사용하는 Option
Default Value : false	Default Value : false	Dafault Value : false

► @Secured, @RolesAllowd

● 특정 Method 호출 이전 이용자 권한 확인
● Spring EL 미지원
● `@Secured`는 `Spring`에서 지원하는 Annotaion이며, `@RolesAllowed`는 Java Standard

► @PreAuthorize, @PostAuthorize

● 특정 Method 호출 전, 후 이용자 권한 확인
● Spring EL 지원
● Spring에서 지원하는 Annotion
● `PostAuthorize`는 해당 Method의 반환(Return)값을 `returnObject`로 참조하여 SpEl을 통해 인가 처리

► @PreAuthorize, @PostAuthorize

● Web 방식에서는 Role의 계층 구조 설정을 해 주지만, `MethodSecurity`에서는 적용되지 않음
● `MethodSecurity`용 `RoleHieachy` 설정 별도 필요
● `GlobalMethodSecurityConfiguration`Class 상속 뒤 `accessDecisionManager()` Override
한 뒤 `WebSecurity`설정에서 해준것과 마찬가지로 `RoleHirearachy`설정하고, `accessDicisionVoter`추가

728x90

저작자표시 비영리 변경금지