security-http 답변 받았는데 이해가 안가서 재질문 드립니다.
- 작성자 :
- 작*좌
- 작성일 :
- 2021-08-30 18:11:17
- 조회수 :
- 3,513
- 구분 :
- 개발환경 / 3.10
- 진행상태 :
- 완료
Q
안녕하세요.
표준프레임워크센터입니다.
1. <security:http pattern="/event/**" security="none"/> 과 같은 형태는
스프링 스큐리티를 적용하지 않겠다는 의미이므로
스프링 시큐리티에 포함시켜 관리하려면 해당 설정은 제거하셔야 합니다.
->> 시스템은 스프링 시큐리티가 적용되어있습니다. 설정이나 Globals.Auth = security 설정되어 있습니다.
/event/**.do 과 같은 유형의 url은 인증절차를 패스하고 싶습니다. 로그인을 안해도 해당 url은 서비스 되야 하는 상황입니다.
이런 상황이면 시큐리티를 적용하지 않겠다는 의미 아닌가요? 포함시켜 '관리' 하는건 무슨 의미인지 모르겠습니다. 저 설정을 제거하면 인증절차 패스하는 설정은 어디서 하나요>?
2. 문의에 적어주신 AuthenticInterceptor 클래스나 xxx-interceptor.xml 등은
Session 방식 인증 및 권한관리에서 사용되고 있습니다.
Security 방식 인증 및 권한관리를 위해서는
global.properties 에 Globals.Auth = security 로
설정되어 있는지 확인해보시기 바랍니다.
->> 위에 써있듯 해당 시큐리티 설정은 되어있는 상황입니다. 간소화서비스이용중이구요 일단 security-http가 적용이 안되어서 AuthenticIntercepter에서 예외허용 url property를
설정해서 인터셉터에서 패스시켜주었습니다. 동작은 하는데 이 방식이 올바른건가요? 아니면 session 인증방식이랑 혼합해서 사용하고 있는건가요?
Session 방식 인증 및 권한관리에 대해서는 위키가이드에서 확인하실 수 있습니다.
https://www.egovframe.go.kr/wiki/doku.php?id=egovframework:rte3.10:fdl:access
감사합니다.
표준프레임워크센터입니다.
1. <security:http pattern="/event/**" security="none"/> 과 같은 형태는
스프링 스큐리티를 적용하지 않겠다는 의미이므로
스프링 시큐리티에 포함시켜 관리하려면 해당 설정은 제거하셔야 합니다.
->> 시스템은 스프링 시큐리티가 적용되어있습니다. 설정이나 Globals.Auth = security 설정되어 있습니다.
/event/**.do 과 같은 유형의 url은 인증절차를 패스하고 싶습니다. 로그인을 안해도 해당 url은 서비스 되야 하는 상황입니다.
이런 상황이면 시큐리티를 적용하지 않겠다는 의미 아닌가요? 포함시켜 '관리' 하는건 무슨 의미인지 모르겠습니다. 저 설정을 제거하면 인증절차 패스하는 설정은 어디서 하나요>?
2. 문의에 적어주신 AuthenticInterceptor 클래스나 xxx-interceptor.xml 등은
Session 방식 인증 및 권한관리에서 사용되고 있습니다.
Security 방식 인증 및 권한관리를 위해서는
global.properties 에 Globals.Auth = security 로
설정되어 있는지 확인해보시기 바랍니다.
->> 위에 써있듯 해당 시큐리티 설정은 되어있는 상황입니다. 간소화서비스이용중이구요 일단 security-http가 적용이 안되어서 AuthenticIntercepter에서 예외허용 url property를
설정해서 인터셉터에서 패스시켜주었습니다. 동작은 하는데 이 방식이 올바른건가요? 아니면 session 인증방식이랑 혼합해서 사용하고 있는건가요?
Session 방식 인증 및 권한관리에 대해서는 위키가이드에서 확인하실 수 있습니다.
https://www.egovframe.go.kr/wiki/doku.php?id=egovframework:rte3.10:fdl:access
감사합니다.
환경정보
-
- OS 정보 :
- 표준프레임워크 버전 :
- JDK(JRE) 정보 :
- WAS 정보 :
- DB 정보 :
- 기타 환경 정보 :
A
안녕하세요.
표준프레임워크센터입니다.
1. 인증이 필요없는 정적리소스 파일(이미지,css,js등)처럼
security 필터를 거치지 않게 하신다고 하면 xml 설정 방식으로 구성하시면 되는데
같은 패턴(/event/**) 에 대해 xml 설정과 시큐리티 권한관리(ROLE_ANONYMOUS)를
모두 적용되어 있다고 하셔서 xml 설정을 제거하는게 맞을것 같아서 안내드렸습니다.
2. 앞서 말씀드린대로 spring security 를 적용하지 않을 경우
인터셉터를 이용하여 인증/권한 처리를 간단하게 구성할 수 있게
AuthenticInterceptor 클래스를 제공하고 있으므로
시큐리티 간소화서비스와 함께 사용하시고자 한다면
별도로 로직을 구성하셔야 합니다.
감사합니다.
표준프레임워크센터입니다.
1. 인증이 필요없는 정적리소스 파일(이미지,css,js등)처럼
security 필터를 거치지 않게 하신다고 하면 xml 설정 방식으로 구성하시면 되는데
같은 패턴(/event/**) 에 대해 xml 설정과 시큐리티 권한관리(ROLE_ANONYMOUS)를
모두 적용되어 있다고 하셔서 xml 설정을 제거하는게 맞을것 같아서 안내드렸습니다.
2. 앞서 말씀드린대로 spring security 를 적용하지 않을 경우
인터셉터를 이용하여 인증/권한 처리를 간단하게 구성할 수 있게
AuthenticInterceptor 클래스를 제공하고 있으므로
시큐리티 간소화서비스와 함께 사용하시고자 한다면
별도로 로직을 구성하셔야 합니다.
감사합니다.