스프링 시큐리티로 관리자, 개발자 권한 추가 설정하기

간단하게 부가적인 권한 설정을 해보자.

Secured

일반적으로 글로벌한 권한 처리는 SecureConfig 클래스의 configure() 메서드에서 체이닝을 통해 설정한다. 하지만 어노테이션만 설정한다면 컨트롤러에서도 각 요청 메서드 별 권한 설정이 가능하다.

SecureConfig에 어노테이션 설정하기

클래스 레벨에 @EnableGlobalMethodSecurity 어노테이션을 추가한다.

@Configuration
@EnableWebSecurity
@EnableGlobalMethodSecurity(securedEnabled = true, prePostEnabled = true)    // secured 어노테이션 활성화, preAuthorize, postAuthorize 어노테이션 활성화
public class SecurityConfig extends WebSecurityConfigurerAdapter{

    ...

}

• securedEnabled = true : 컨트롤러 요청 메서드에서 @Secured 어노테이션을 설정할 수 있다.
• prePostEnabled = true : 컨트롤러 요청 메서드에서 @PreAuthorize, @PostAuthorize 어노테이션을 설정할 수 있다.

컨트롤러 요청 메서드 별 권한 설정하기

컨트롤러의 요청 메서드에 @Secured, @PreAuthorize @PostAuthorize 등의 어노테이션을 붙여 각 요청 메서드 별 권한 처리를 한다.

@Controller
public class IndexController {

	@Secured("ROLE_ADMIN")
	@GetMapping("/info")
	public @ResponseBody String info() {
		return "개인 정보";
	}
	
	@PreAuthorize("hasRole('ROLE_MANAGER') or hasRole('ROLE_ADMIN')")     // 권한 여러개 설정하기 위해 'hasRole() or hasRole()'
	@GetMapping("/data")
	public @ResponseBody String data() {
		return "데이터 정보";
	}
}

• @Secured : 해당 어노테이션을 붙인 요청 메서드에만 간단하게 권한 설정
• @PreAuthorize : 해당 어노테이션을 붙인 요청 메서드가 실행되기 전에 조건을 검사
• 일반적으로 @PreAuthorize 보다는 @Secured()로 검사하는 경우가 많음

이 결과 관리자, 개발자 계정 별로 접근할 수 있는 페이지가 달라진다!

Reference

인프런 최주호님 스프링부트 시큐리티 & JWT 강의 - 섹션 0. 스프링 시큐리티 기본