권한관련 재질문
- 작성자 :
- 이*성
- 작성일 :
- 2016-02-16 14:19:51
- 조회수 :
- 740
- 구분 :
- 개발환경
- 진행상태 :
- 완료
Q
방금 권한관련 답변을 다음과 같이 받았습니다.
--------------------------------------------------------------------------------
ROLE_ANONYMOUS는 모든사용자가 접근 가능한 권한입니다.
따라서 권한이 없어서 접근이 제한된다는 처리는 목적에 맞지 않습니다.
말씀하신 목적에 맞게 구현하고자 하신다면
별도의 권한을 등록하여 구현하시면 되겠습니다.
--------------------------------------------------------------------------------
제가 하고 싶은것은..
특정페이지에 접근 시, 로그인하지 않은 사용자는 권한이 없음을 표시 하고 싶습니다.
ROLE_ANONYMOUS는 로그인하지 않은 모든 사용자를 말하는것이 아닌가요?
말씀하신 별도 권한을 등록하여 그권한이 있는 사용자를 컨트롤하는 것이 아닌...
답변부탁드립니다.ㅠㅠ
--------------------------------------------------------------------------------
ROLE_ANONYMOUS는 모든사용자가 접근 가능한 권한입니다.
따라서 권한이 없어서 접근이 제한된다는 처리는 목적에 맞지 않습니다.
말씀하신 목적에 맞게 구현하고자 하신다면
별도의 권한을 등록하여 구현하시면 되겠습니다.
--------------------------------------------------------------------------------
제가 하고 싶은것은..
특정페이지에 접근 시, 로그인하지 않은 사용자는 권한이 없음을 표시 하고 싶습니다.
ROLE_ANONYMOUS는 로그인하지 않은 모든 사용자를 말하는것이 아닌가요?
말씀하신 별도 권한을 등록하여 그권한이 있는 사용자를 컨트롤하는 것이 아닌...
답변부탁드립니다.ㅠㅠ
A
이현성님 안녕하세요.
표준프레임워크센터입니다.
표준프레임워크 서버시큐리티에서는
인증여부를 먼저 체크한 후 권한을 체크하게 됩니다.
(위키가이드 '웹어플리케이션 인증절차' 참고)
http://www.egovframe.go.kr/wiki/doku.php?id=egovframework:rte2:fdl:server_security:architecture
로그인을 하지 않은 경우 인증단계에서 필터링이 되기 때문에 로그인 페이지로 이동하는 것이 맞습니다.
문의하신 내용을 근거로
로그인 하지 않은 상태에서 권한이 필요한 페이지로 접근 시, 권한 제한 메시지 페이지로
이동한다는 것은 인증절차를 생략한다는 것으로 볼 수 있습니다.
(때문에 권한 제한 메시지 표시가 필요할 경우 추가 권한 롤을 등록하도록 안내해 드린 내용이지만,
선생님의 경우 적절하지 않을 것 같습니다.)
물론 스프링시큐리티에서 다양한 요구사항을 반영할 수 있도록
인증이나 권한 처리의 수정 및 필터의 커스터마이징을 할 수 있습니다.
하지만, 표준프레임워크 센터에서는 발생하는 모든 상황에 대해 대응하는 것에 한계가 있는 만큼,
사업단에서 수정(이 필요한)한 기능에 대해서는 대응이 어려울 수 있음에 양해를 구합니다.
롤과 관련한 보안 정책 외에 로그인 여부 등의 인증체크는
intercepter를 등록하여 해당 정책을 구현하시는것도 고려해 보시기 바랍니다.
egov-com-servlet.xml 에 로그인과 관련한 인터셉터설정이 셈플로 등록되어 있을 것입니다.
참고바랍니다.
감사합니다.
표준프레임워크센터입니다.
표준프레임워크 서버시큐리티에서는
인증여부를 먼저 체크한 후 권한을 체크하게 됩니다.
(위키가이드 '웹어플리케이션 인증절차' 참고)
http://www.egovframe.go.kr/wiki/doku.php?id=egovframework:rte2:fdl:server_security:architecture
로그인을 하지 않은 경우 인증단계에서 필터링이 되기 때문에 로그인 페이지로 이동하는 것이 맞습니다.
문의하신 내용을 근거로
로그인 하지 않은 상태에서 권한이 필요한 페이지로 접근 시, 권한 제한 메시지 페이지로
이동한다는 것은 인증절차를 생략한다는 것으로 볼 수 있습니다.
(때문에 권한 제한 메시지 표시가 필요할 경우 추가 권한 롤을 등록하도록 안내해 드린 내용이지만,
선생님의 경우 적절하지 않을 것 같습니다.)
물론 스프링시큐리티에서 다양한 요구사항을 반영할 수 있도록
인증이나 권한 처리의 수정 및 필터의 커스터마이징을 할 수 있습니다.
하지만, 표준프레임워크 센터에서는 발생하는 모든 상황에 대해 대응하는 것에 한계가 있는 만큼,
사업단에서 수정(이 필요한)한 기능에 대해서는 대응이 어려울 수 있음에 양해를 구합니다.
롤과 관련한 보안 정책 외에 로그인 여부 등의 인증체크는
intercepter를 등록하여 해당 정책을 구현하시는것도 고려해 보시기 바랍니다.
egov-com-servlet.xml 에 로그인과 관련한 인터셉터설정이 셈플로 등록되어 있을 것입니다.
참고바랍니다.
감사합니다.