인프런 코어-스프링-시큐리티 수업을 보고 순서대로 진행해봄.
브랜치를 기준으로 공부한 각 챕터별로 나눠져있다.
최대한 주석등을 이용해서 각 코드별 설명추가했음.
책이외에도 쓸만한게 있으면 추가 예정.
- AccessDecisionManager
- 인증정보, 요청정보, 권한정보를 이용해 사용자를 지원접근허용할것인지 아닌지 최종 결정하는 주체.
- 여러개의 Voter 들을 가질수있고 허용, 거부, 보류등에 해당하는 리턴받고 판단 및 결정
- 접근결정에 대한 3가지 유형
- AffirmativeBased - 하나라도 허용할경우 패스
- ConsensusBased - 다수가 허용할경우 패스
- UnanimousBased - 모두가 허용할경우 패스
- AccessDecisionVoter
- 판단을 심사하는것
- 권한부여에서 판단하는 자료는 위에서 말한 인증정보, 요청정보, 권한정보이다.
- 결정방식은 3가지 - 접근허용(1), 접근금지(-1), 접근보류(0)
mapstruct 라이브러리를 쓸겸 이곳에 어쩌다보니 넣었다?
대부분 기능은 사용해봤고 다만 strategy, provider 직접 구현까지는 생략했음.
사용된 파일들의 위치는 com.joonseolee.springsecuritytutorial.domain 에서 확인할수있다.
- UrlResourcesMapFactoryBean
- DB 로부터 얻은 권한/자원 정보를 ResourceMap 을 빈으로 생성해서 UrlFilterInvocationSecurityMetadataSource 에 전달.
- Method 방식 - 아노테이션 권한 설정
- @PreAuthorize, @PostAuthroize
- SpEL 지원
- PrePostAnnotationSecurityMetadataSource 가 담당
- @Secured, @RolesAllowed
- SpEL 미지원
- SecuredAnnotationSecurityMetadataSource, Jsr250MethodSecurityMetadataSource 가 담당
- @PreAuthorize, @PostAuthroize
- 인가처리를 위한 초기화 과정과 진행
- 초기화 과정
- 초기화시 전체 빈을 검사하여 보안이 설정된 메소드 탐색
- 빈의 프록시 객체를 생성
- 보안 메소드에 인가처리 기능을 하는 Advice 등록
- 빈 참조시 실제 빈이 아닌 프록시 빈 객체를 참조
- 진행과정
- 메소드 호출시 프록시 객체를 통해 메소드를 호출
- Advice 가 등록되어 있다면 Advice 를 작동하게 하여 인가처리
- 권한 심사 통과하면 실제 빈의 메소드를 호출!
- 초기화 과정