728x90

 

이전 글: 2025.06.30 - [Backend/Spring Security] - Spring Security 내부 구조 -1

 

Spring Security 내부 구조 -1

스프링 시큐리티 공식 문서: https://docs.spring.io/spring-security/reference/servlet/architecture.html Spring Security 동작 원리시큐리티 의존성이 없는 경우, 클라이언트의 요청은 서버 컴퓨터 WAS의 필터들을 통과

0woy.tistory.com

SecurityFilterChain

스프링 시큐리티 필터들의 묶음으로 실제 시큐리티 로직이 처리되는 부분

추후 자세히 작성 예정

 

커스텀 SecurityFilterChain 등록

  • 스프링 시큐리티 의존성을 추가하면 `DefaultSecurityFilterChain` 하나가 등록 (자동)
  • 원하는 SecurityFilterChain을 등록하기 위해서는 SecurityFilterChain을 리턴하는 @Bean 메소드를 등록하면 됨
    (한 개 이상 등록 가능)

Custom Security Filter Chain 등록

두 개 이상을 등록할 경우? =  멀티 SecurityFilterChain 경로 설정 必

FilterChainProxy는 N개의 SecurityFilterChain 중 하나를 선택해 요청을 전달한다.

Multi Security FilterChain

선택 기준은 다음과 같다.

  1. 등록 인덱스 순
  2. 필터 체인에 대한 `RequestMatcher` 값이 일치하는지 확인
📌 멀티 SecurityFilterChain 경로 설정은 필수
 SecurityFilterChain 설정 시 N개의 SecurityFilterChain 모두 `/**` 경로에서 매핑
👉 모든 요청이 첫 번째 filterChain으로만 이동하므로, 경로 설정은 필수이다.

경로 설정을 하지 않을 경우

따라서 위 오류를 없애려면 SecurityFilterChain에 대한 경로 매핑을 진행해야 함

SecurityFilterChain에 대한 경로 매핑 : sercurityMatchers

	@Bean		// /user 경로에 해당하는 요청만 받음
    public SecurityFilterChain filterChain1(HttpSecurity http) throws Exception {
        http
                .securityMatchers((auth) -> auth.requestMatchers(("/user")));
        http
                .authorizeHttpRequests((auth) -> auth
                        .requestMatchers("/user").permitAll());

        return http.build();
    }

	
    @Bean	// /tester 경로에 해당하는 요청만 받음
    public SecurityFilterChain filterChain2(HttpSecurity http) throws Exception {
        http
                .securityMatchers((auth) -> auth.requestMatchers(("/tester")));

        http
                .authorizeHttpRequests((auth) -> auth
                        .requestMatchers("/tester").permitAll());

        return http.build();
    }

특정 요청을 필터를 거치지 않도록

  • SecurtiyFilterChain을 거치게 된다면 내부적으로 여러가지 필터를 거치게 됨
  • 이때 서버의 자원 사용 및 상주 시간이 발생하므로 원하는 값은 필터를 통과하지 못하도록 설정할 수 있음
  • 보통 정적 자원 (이미지, CSS)의 경우 필터를 통과하지 않도록 아래 구문 사용
@Bean
public WebSecurityCustomizer webSecurityCustomizer() {
    return web -> web.ignoring().requestMatchers("/img/**");
}

설정 시 하나의 SecurityFilterChain이 0번 인덱스로 설정되며 하나의 필터 체인 내부에는 필터가 없는 상태로 생성

 

참고 영상

개발자 유미 - 스프링 시큐리티 내부 구조 시리즈 4~5

https://www.youtube.com/watch?v=QoPXJ2LEqTc&list=PLJkjrxxiBSFCFM0pjDwm6F98veieD0MER&index=4

 

 

728x90

티스토리툴바