1.의의

• 스프링 시큐리티는 애너테이션을 사용하여 필요한 설정을 추가할 수 있다.
• 웹 보안과 메서드 보안을 결합하는 것은 드문일이 아니다.
• 필터체인은 인증 및 로그인 페이지로의 리다이렉션과 같은 사용자 경험 기능을 제공하고 메서드 보안은 더 세밀한 수준의 보호를 제공한다.

2.사용 애너테이션

1)@Secured

• 스프링 시큐리티 모듈을 지원하기 위한 애너테이션으로 초기부터 사용되었다.

2)@PreAuthorize

• 메서드가 실행되기 전에 적용할 접근 정책을 지정할 때 사용한다.

3)@ PostAuthorize

• 메서드가 실행된 후 에 적용할 접근 정책을 지정할 때 사용한다.

3.securedEnabled 속성 설정

• securedEnabled 속성을 true로 설정하면 @Secured를 사용 할 수 있다.

@EnableWebSecurity
@EnableGlobalMethodSecurity(securedEnabled=true)
public class SecurityConfig extends WebSecurityConfigurerAdapter {

	@Override
	protected void configure(AuthenticationManagerBuilder auth) throws Exception {
		auth.userDetailsService(customUserDetailsService())
		.passwordEncoder(passwordEncoder());
	}

4.Secured 메서드 보안 애너테이션 적용

• 코드 그룹 컨트롤러 클래스에 @Secured애너테이션을 지정하여 전체 메서드의 보안을 설정한다.

@RequestMapping("/board")
public class BoardController {

	private final BoardService service;

	@Secured("ROLE_MEMBER")
	@GetMapping("/register")
	public void registerForm(Model model, @AuthenticationPrincipal CustomUser customUser) throws Exception {
		Member member = customUser.getMember();
		
		log.info("registerForm member.getUserId() = " + member.getUserId());
		
		Board board = new Board();
		
		board.setWriter(member.getUserId());

		model.addAttribute(board);
	}

5.prePostEnabled 속성 설정

• prePostEnabled 속성을 true로 설정하면 @PreAuthorize, @PostAuthorize를 사용할 수 있다.