security 설정 관련 질문 입니다.
- 작성자 :
- 유*길
- 작성일 :
- 2018-01-16 16:10:01
- 조회수 :
- 2,102
- 구분 :
- 기타
- 진행상태 :
- 완료
Q
안녕하세요.
시큐리티 설정 중 sqlHierarchicalRoles, sqlRolesAndUrl 를 사용해서
URL을 DB에 저장해서 관리하고 있는데요.
예를 들어 Controller 에 localhost:8080/test/notice.do
notice.do 라는 API 를 호출 시 sqlRolesAndUrl 에 지정 되어 있는 DB에 `notice.do` 가 등록되어 있어서
로그인 없이는 접근이 불가능한 상태 입니다.
그런데 localhost:8080/test/notice.do?
이처럼 뒤에 ? 를 붙이면 로그인 없이도 해당 URL에 접근이 가능해지는데 관련해서 어디를 보면 되는것인지 알고 싶습니다.
설정내용 첨부합니다.
<egov-security:secured-object-config id="securedObjectConfig"
sqlHierarchicalRoles="SELECT CHLDRN_ROLE child, PARNTS_ROLE parent FROM LETTNROLES_HIERARCHY"
sqlRolesAndUrl="
SELECT CONCAT('/', links ) url, 'ROLE_USER_MEMBER' authority
FROM TB_MENU"
/>
정리하면 설정 된 DB에 `notice.do` 라는 URL 이 들어가있고 로그인 없이 접근하려고 하면 접근불가능.
그러나 notice.do? 로 물음표를 붙인 후 접근하면 로그인 없이도 접근 가능 상태 입니다.
시큐리티 설정 중 sqlHierarchicalRoles, sqlRolesAndUrl 를 사용해서
URL을 DB에 저장해서 관리하고 있는데요.
예를 들어 Controller 에 localhost:8080/test/notice.do
notice.do 라는 API 를 호출 시 sqlRolesAndUrl 에 지정 되어 있는 DB에 `notice.do` 가 등록되어 있어서
로그인 없이는 접근이 불가능한 상태 입니다.
그런데 localhost:8080/test/notice.do?
이처럼 뒤에 ? 를 붙이면 로그인 없이도 해당 URL에 접근이 가능해지는데 관련해서 어디를 보면 되는것인지 알고 싶습니다.
설정내용 첨부합니다.
<egov-security:secured-object-config id="securedObjectConfig"
sqlHierarchicalRoles="SELECT CHLDRN_ROLE child, PARNTS_ROLE parent FROM LETTNROLES_HIERARCHY"
sqlRolesAndUrl="
SELECT CONCAT('/', links ) url, 'ROLE_USER_MEMBER' authority
FROM TB_MENU"
/>
정리하면 설정 된 DB에 `notice.do` 라는 URL 이 들어가있고 로그인 없이 접근하려고 하면 접근불가능.
그러나 notice.do? 로 물음표를 붙인 후 접근하면 로그인 없이도 접근 가능 상태 입니다.
A
안녕하세요 유남길님
표준프레임워크센터입니다.
sqlRolesAndUrl을 사용하시는경우
패턴이 중복되지 않는지 여부를 확인해 보셔야 할듯 합니다.
ROLE_ANONYMOUS와 ROLE_*간에 포함관계형태로 중복이 걸리는경우
말씀하신 문제가 발생할수 있을것입니다.
http://www.egovframe.go.kr/wiki/doku.php?id=egovframework:rte2:fdl:server_security:architecture
위키 내용의 RESOURCE_PATTERN 지정 양식을 보시고 중복여부를 확인해 보시기 바랍니다.
감사합니다.
표준프레임워크센터입니다.
sqlRolesAndUrl을 사용하시는경우
패턴이 중복되지 않는지 여부를 확인해 보셔야 할듯 합니다.
ROLE_ANONYMOUS와 ROLE_*간에 포함관계형태로 중복이 걸리는경우
말씀하신 문제가 발생할수 있을것입니다.
http://www.egovframe.go.kr/wiki/doku.php?id=egovframework:rte2:fdl:server_security:architecture
위키 내용의 RESOURCE_PATTERN 지정 양식을 보시고 중복여부를 확인해 보시기 바랍니다.
감사합니다.