[SPRING SECURITY] WebSecurityConfigurerAdapter Deprecated - 최신 설정 방법

타태 2022. 11. 12. 16:21


스프링 시큐리티를 사용하려면 우리는 WebSecurityConfigurerAdapter 상속받아 확장하는 설정 클래스를 작성하게 된다.

하지만 Spring Security 5.2릴리스부터는 이를 상속받지 않고 람다를 사용하여 HTTP 보안을 구성할 수 있는 DSL에 대한 개선 사항이 포함되었다.


Spring Security Lambda DSL에 대해서는 이 문서를 참고하자. 


따라서 이번 포스팅에서는 DeprecatedWebSecurityConfigurerAdapter 를 사용하지 않고 Http 보안 설정을 하는 방법을 소개한다.


백문이 불여일견 코드부터 보자


기존 방식 - void configure(HttpSecurity http) 오버라이딩

    protected void configure(HttpSecurity http) throws Exception {
            .logoutRequestMatcher(new AntPathRequestMatcher("/logout"))
            	(request, response, authException) -> response.sendRedirect("/login")

변경된 방식 - SecurityFileterChain fileterChain(HttpsSecurity http) Bean

    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        return http
            .headers(headers -> headers.cacheControl().disable())
            .sessionManagement(sessionManagement -> 
            .cors(cors -> cors.configurationSource(corsConfigurationSource()))
            .authorizeRequests(request ->
            .logout(logout ->
                	.logoutRequestMatcher(new AntPathRequestMatcher("/logout"))
            .exceptionHandling(exception ->
                	(request, response, authException) -> response.sendRedirect("/login")



기존 방식 - void configure(WebSecurity web) 오버라이딩

    public void configure(WebSecurity web) {

변경된 방식 - WebSecurityCustomizer configure() Bean

    public WebSecurityCustomizer configure() {
        return web -> web.ignoring()


** 추가 ignore를 사용하면 친절히 로그에서 ingnore 대신 authorizeHttpRequests을 통해 permitAll을 사용하기를 권장한다.

You are asking Spring Security to ignore org.springframework.boot.autoconfigure.security.servlet.StaticResourceRequest$StaticResourceRequestMatcher@3ece79fe. This is not recommended -- please use permitAll via HttpSecurity#authorizeHttpRequests instead.

아래 설정을 HttpSecurity 체인에 추가해주자.



기존 방식 - void configure(AuthenticationManagerBuilder auth) 오버라이딩

    protected void configure(AuthenticationManagerBuilder auth) throws Exception {


변경된 방식 - AuthenticationManager authenticationManager(AuthenticationManagerBuilder auth) Bean

    public AuthenticationManager authenticationManager(AuthenticationManagerBuilder auth) throws Exception {
        return auth.userDetailsService(userDetailsService)



이처럼 기존 WebSecurityConfigurerAdapter를 상속받아확장하는 방식 대신 람다를 사용하고 으로 등록함으로써 얻게 되는 이점으로 아래의 세 가지를 소개하고 있다.

스프링 진영에서의 함수형 프로그래밍의 장점은 이미 많은 곳에 자리 잡고 있는 것 같다.

Goals of the Lambda DSL
The Lambda DSL was created to accomplish to following goals:

Automatic indentation makes the configuration more readable.
- 자동 들여 쓰기는 구성을 더 읽기 쉽게 만듭니다.

The is no need to chain configuration options using .and()
- .and() 메서드를 통해 구성 옵션을 연결할 필요가 없습니다

The Spring Security DSL has a similar configuration style to other Spring DSLs such as Spring Integration and Spring Cloud Gateway.
- Spring Security DSL은 Spring Integration 및 Spring Cloud Gateway와 같은 여타 Spring DSL과 유사한 구성 스타일을 가지고 있습니다.

- 스프링 시큐리티의 and 메서드에 대해 궁금하다면 참고

더 자세히 알고 싶다면 아래 문서를 확인하면 정말 자세하고 친절하게 나와 있으니 확인해보시길 바란다.



번외로 기존의 어댑터 상속 방식을 사용할 때도 람다로 구성하면 .and()없이 구성이 가능하다.

기존 방식 (람다) - void configure(HttpSecurity http) 오버라이딩

    protected void configure(HttpSecurity http) throws Exception {
            .headers(headers -> headers.cacheControl().disable())
            .sessionManagement(sessionManagement -> sessionManagement.sessionCreationPolicy(SessionCreationPolicy.STATELESS))
            .cors(cors -> cors.configurationSource(corsConfigurationSource()))
            .authorizeRequests(request ->
                    .mvcMatchers("/", "/accounts/join", "/accounts/login", "/images/**").permitAll()
            .logout(logout ->
                logout.logoutRequestMatcher(new AntPathRequestMatcher("/logout"))
            .exceptionHandling(exception ->
                exception.authenticationEntryPoint((request, response, authException) ->

