[spring boot] Spring Security 기본 로그인 페이지 없애기 (6.1 이상 버전)

 

프로젝트 진행 중 spring security를 사용하여 비밀번호를 암호화하여 DB에 저장하는 기능을 구현하고자 

spring security 라이브러리를 build.gradle에 주입해주었다.

	implementation 'org.springframework.boot:spring-boot-starter-security'
	implementation 'org.thymeleaf.extras:thymeleaf-extras-springsecurity6'

spring security 기본 로그인 페이지

spring security를 주입하게 되면 자동으로 login 페이지로 이동하게 되고 , 

원하는 url을 아무리 입력해도 이동하지 않는다. 

 

---

해결방법

먼저, application에서 실행되는 Main.java 클래스 파일에 

@SpringBootApplication 어노테이션에 (exclude = SecurityAutoConfiguration.class) 옵션을 사용해서 로그인 페이지가 나오지 않게 해줄 수 있다라는 방법을 찾았다.

package com.project.board;

import org.springframework.boot.SpringApplication;
import org.springframework.boot.autoconfigure.SpringBootApplication;
import org.springframework.boot.autoconfigure.security.servlet.SecurityAutoConfiguration;
import org.springframework.web.bind.annotation.RequestMapping;



@SpringBootApplication(exclude = SecurityAutoConfiguration.class)
public class BoardApplication {

	public static void main(String[] args) {

		SpringApplication.run(BoardApplication.class, args);
	}

	@RequestMapping("/")
	public String home() {
		return "home";
	}
}

이렇게 코드를 작성했지만 똑같이 로그인페이지가 없어지지 않았다.

 

두번째, 또 다른 구글링들을 통해 springConfig class를 통해 

@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {

    @Override
    protected void configure(HttpSecurity http) throws Exception {
        http.csrf().disable()
            .authorizeRequests()
                .anyRequest().permitAll();
       return http.build();
       
       http.authorizeRequests().antMatchers("/**").permitAll()
				.anyRequest().authenticated();
		return http.build();
    }
    
}

 

이렇게 csrf를 막고, 권한을 풀어주는 경우도 다양하게 검색할 수 있다. 

하지만 이는 시큐리티 5버전 이하를 사용하는 경우 작동하는 코드임을 알 수 있었다. 

 

즉, 이렇게 작성하게 되면 6버전 이상을 사용하는 경우 

이와 같이 버전 문제로 사용할 수 없음을 알 수 있다. 

---

따라서 이 문제를 해결하기 위해서 

spring security 공식문서와 더불어, 다양한 구글링을 통해 Lamda 방식을 사용해야 함을 알게 되었다. 

 

즉, 

@Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http
                .csrf(AbstractHttpConfigurer::disable)
                .authorizeHttpRequests(auth -> auth
                        .anyRequest().permitAll()
                );

        return http.build();
    }

이렇게 람다식을 사용하여 csrf를 막고, 로그인 페이지로의 redirect를 막도록 설정했다.

 

최종코드

package com.project.board;

import org.springframework.beans.factory.annotation.Autowired;
import org.springframework.context.annotation.Bean;
import org.springframework.context.annotation.Configuration;
import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder;
import org.springframework.security.config.annotation.web.builders.HttpSecurity;
import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
import org.springframework.security.config.annotation.web.configurers.AbstractHttpConfigurer;
import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder;
import org.springframework.security.crypto.password.PasswordEncoder;
import org.springframework.security.web.SecurityFilterChain;

@Configuration
@EnableWebSecurity
public class SecurityConfig {

    @Bean
    public static PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder();
    }
    @Bean
    public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
        http
                .csrf(AbstractHttpConfigurer::disable)
                .authorizeHttpRequests(auth -> auth
                        .anyRequest().permitAll()
                );

        return http.build();
    }

    @Autowired
    public void configureGlobal(AuthenticationManagerBuilder auth, PasswordEncoder passwordEncoder) throws Exception {
        auth
                .inMemoryAuthentication()
                .withUser("user").password(passwordEncoder.encode("password"))
                .roles("USER");
    }
}

이와 같이 코드를 작성함을 통해 기본 로그인 페이지로의 이동을 막고 원하는 URL로 이동할 수 있도록 구현할 수 있었다.