image.png

그림에서 클라이언트가 리소스에 대한 접근 권한이 없을 때 처리를 담당하는 필터는UsernamePasswordAuthenticationFilter이다.

인증 권한이 없을 때 오류를 JSON으로 내려주기 위해 해당 필터가 실행되기 전 처리가 필요하다.

2.1.1. API 인증 및 권한 부여를 위한 작업 순서

회원 가입 & 로그인 API 구현
리소스 접근 가능한 ROLE_USER 권한을 가입 회원에게 부여
Spring Security 설정에서 ROLE_USER 권한을 가지면 접근 가능하도록 세팅
권한이 있는 회원이 로그인 성공하면 리소스 접근 가능한 JWT 토큰 발급
해당 회원은 권한이 필요한 API 접근 시 JWT 보안 토큰을 사용

위와 같이 접근 제한이 필요한 API에는 보안 토큰을 통해서 이 유저가 권한이 있는지 여부를 Spring Security를 통해 체크하고 리소스를 요청할 수 있도록 구성할 수 있다.

API 인증 및 권한 부여를 위한 작업 순서

  1. 회원 가입 & 로그인 API 구현
  2. 리소스 접근 가능한 ROLE_USER 권한을 가입 회원에게 부여
  3. Spring Security 설정에서 ROLE_USER 권한을 가지면 접근 가능하도록 세팅
  4. 권한이 있는 회원이 로그인 성공하면 리소스 접근 가능한 JWT 토큰 발급
  5. 해당 회원은 권한이 필요한 API 접근 시 JWT 보안 토큰을 사용

위와 같이 접근 제한이 필요한 API에는 보안 토큰을 통해서 이 유저가 권한이 있는지 여부를 Spring Security를 통해 체크하고 리소스를 요청할 수 있도록 구성할 수 있다.