2.인가 적용 전략
1.스프링 시큐리티에서 인가를 적용하는 방식
스프링 시큐리티에서는 크게 2가지 방식으로 인가를 적용할 수 있도록 API를 제공함
1-1. 요청 URL(Endpoint) 기반 권한 부여(Request Based Authorization)
사용자가 요청하는 요청 경로인 엔드 포인트(URL) 별로 리소스의 접근 권한을 부여하는 방식
ex)
/profile 경로에 대해서는 별도의 권한이 있는 사용자만 접근이 가능하도록 접근 권한 부여
HTTP URL
localhost:8080/myprofile기본적으로 인가는 인증이 먼저 진행된 이후에 수행할 수 있는 것이기 때문에 모든 요청에 대하여 인증이 먼저 수행되어야 함
SecurityConfig.java
// HttpSecurity 타입의 참조변수 http를 활용하여 모든 요청에 대해 인증이 필요하도록 적용
http
.authorizeHttpRequests((authorize) -> authorize
.anyRequest().authenticated()
)1-2. 메서드 기반 권한 부여(Method Based Authorization)
HTTP 엔드포인트를 이용하지 않는 상황이나, 웹 애플리케이션이 아닌 애플리케이션에서도 권한 부여가 적용될 수 있도록 메서드 레벨에서의 권한 부여 기능을 제공
이러한 메서드 보안을 활용하면 동일한 엔드포인트 경로 내에서도 특정 사용자에 따라 권한을 차등 부여할 수 있음
Last updated on