2.접근 거부 처리

1.의의

접근 거부 에러를 적절하게 처리하지 않아 시스템에서 제공하는 기본 에러페이지가 사용자에게 그대로 노출되면 보안상 문제가 생길수 있다

2.접근 거부 미처리(ch0802)

접근 거부에 대한 별도의 설정 작업을 하지 않으면 브라우저 화면에 에러페이지가 나타난다.

http.authorizeRequests()
		.requestMatchers(PathRequest.toStaticResources().atCommonLocations()).access("permitAll")
		.antMatchers("/").access("permitAll")
		.antMatchers("/auth/login").access("permitAll")
		.antMatchers("/user/register", "/user/registerSuccess").access("permitAll")	
		.antMatchers("/codegroup/**").access("hasRole('ADMIN')")
		.antMatchers("/codedetail/**").access("hasRole('ADMIN')")
		.antMatchers("/board/list", "/board/read").access("permitAll")
		.antMatchers("/board/register", "/board/modify").access("hasRole('MEMBER')")
		.antMatchers("/board/remove").access("hasAnyRole('MEMBER', 'ADMIN')")
		.antMatchers("/notice/list", "/notice/read").access("permitAll")
		.antMatchers("/notice/register", "/notice/modify", "/notice/remove").access("hasRole('ADMIN')")
		.anyRequest().authenticated();

접근이 불가능한 페이지에 접근 하면 접근 거부 예외가 발생하고 브라우저 화면에 그대로 표시된다.

Untitled

3.접근 거부 에러 페이지 URL를 지정(ch0802a)

접근 거부 에러가 발생 했을 때 이동할 접근 거부 에러 페이지의 URL 를 지정할 수 있다.

http.authorizeRequests()
		.requestMatchers(PathRequest.toStaticResources().atCommonLocations()).access("permitAll")
		.antMatchers("/").access("permitAll")
		.antMatchers("/auth/login").access("permitAll")
		.antMatchers("/user/register", "/user/registerSuccess").access("permitAll")	
		.antMatchers("/codegroup/**").access("hasRole('ADMIN')")
		.antMatchers("/codedetail/**").access("hasRole('ADMIN')")
		.antMatchers("/board/list", "/board/read").access("permitAll")
		.antMatchers("/board/register", "/board/modify").access("hasRole('MEMBER')")
		.antMatchers("/board/remove").access("hasAnyRole('MEMBER', 'ADMIN')")
		.antMatchers("/notice/list", "/notice/read").access("permitAll")
		.antMatchers("/notice/register", "/notice/modify", "/notice/remove").access("hasRole('ADMIN')")
		.anyRequest().authenticated();
		
	
		
		http.exceptionHandling()
		.accessDeniedPage("/error/accessError");

accessError.html

<html xmlns:th="<http://www.thymeleaf.org>"
	xmlns:layout="<http://www.ultraq.net.nz/thymeleaf/layout>"
	layout:decorate="~{/layouts/common_template}">
  
<head>
	<title>Error</title>
	<meta http-equiv="Content-Type" content="text/html; charset=UTF-8" />
	<link rel="stylesheet" href="../../static/css/style.css" th:href="@{/css/style.css}"/>	
</head>
<body>
	<div layout:fragment="content">
		<h2 th:text="#{common.error.accessDeniedPage}"></h2>
		
		<a href="javascript:window.history.back();" th:text="#{common.error.backPage}">이전페이지</a>
		<br />
		<a href="/" th:text="#{common.error.returnHome}">홈으로 돌아기기</a>
	</div>
</body>
</html>

Untitled

4.사용자 정의 접근 거부 처리자(ch0802_b)

AccessDenied Handler 인터페이스는 인증된 사용자의 접근이 거부된 경우 오류에 응답하는 데 사용되는 인터페이스다