스프링 시큐리티 session 및 권한체크
- 작성자 :
- 이*진
- 작성일 :
- 2014-06-30 18:55:36
- 조회수 :
- 804
- 구분 :
- 실행환경
- 진행상태 :
- 완료
Q
3.0버전 spring 간편설정으로 적용중이며, 설정내용을 첨부파일(context-security과 같습니다.
신규로 생성한 controller/service/mapper(mybatis) 이며 클래스들의 최상위패키지는 egovframework이 아닌 별도 생성한 패키지입니다.
해당 request url은 role패턴 url에 등록되어 있지 않습니다.
1. 로그인 되어 있지 않은 상태에서 특정 url로 바로 입력하면, 설정한 loginUrl 페이지로 가지않고 access가 됩니다.
seurity-log-notlogin.txt
2. 로그인 후에도 권한에 등록되어 있지 않는 url인데도 access가 됩니다.
security-log-login.txt
원인이 무엇인지요?
참고로, ui단은 xplatform을 사용하고 있어, 각종 url 설정페이지는 추가수정하였으며,
controller의 view는 jsp가 아니고, response에 xml응답처리합니다.
신규로 생성한 controller/service/mapper(mybatis) 이며 클래스들의 최상위패키지는 egovframework이 아닌 별도 생성한 패키지입니다.
해당 request url은 role패턴 url에 등록되어 있지 않습니다.
1. 로그인 되어 있지 않은 상태에서 특정 url로 바로 입력하면, 설정한 loginUrl 페이지로 가지않고 access가 됩니다.
seurity-log-notlogin.txt
2. 로그인 후에도 권한에 등록되어 있지 않는 url인데도 access가 됩니다.
security-log-login.txt
원인이 무엇인지요?
참고로, ui단은 xplatform을 사용하고 있어, 각종 url 설정페이지는 추가수정하였으며,
controller의 view는 jsp가 아니고, response에 xml응답처리합니다.
A
안녕하세요. 이용진님.
role 패턴 상에 등록되지 URL은 통제되지 않기 때문에 인증되지 않은 상태에서도 접근되는 것이 맞습니다.
통제가 필요한 패턴들을 등록하시거나, 전체 패턴(ex: /.*.do.*)을 sort order를 높게 하셔서 등록하시고
반대로 익명 접근이 필요한 패턴을 등록하여 ROLE_ANONYMOUS 역할에게 지정하시면 됩니다.
그럼, 즐거운 하루되십시오.
감사합니다.
role 패턴 상에 등록되지 URL은 통제되지 않기 때문에 인증되지 않은 상태에서도 접근되는 것이 맞습니다.
통제가 필요한 패턴들을 등록하시거나, 전체 패턴(ex: /.*.do.*)을 sort order를 높게 하셔서 등록하시고
반대로 익명 접근이 필요한 패턴을 등록하여 ROLE_ANONYMOUS 역할에게 지정하시면 됩니다.
그럼, 즐거운 하루되십시오.
감사합니다.