AuthenticationEntryPoint에서 CORS with SpringSecurity

들어온 요청에 대해서 인증에 실패하거나 권한이 없으면 수행되는 AuthenticationEntryPoint를 커스터 마이징 했을 때 CORS는 어떻게 되는건지 확인해봤다.

Spring Security 설정에 모든 /api/ 요청에 대해 거절하도록 했다.

<http pattern="/api/**" entry-point-ref="restAuthenticationEntryPoint">
	<intercept-url pattern="/api/**" access="denyAll()"/>
    <csrf disabled="true"/>
    <cors configuration-source-ref="corsSource"/>
</http>

그러면 /api/의 모든 요청은 거절되고 restAuthenticationEntryPoint 에 정의된 절차대로 수행한다.

    public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException {
        String noAuthMessage = "{\n" +
                "    \"status\": \"FAILURE\",\n" +
                "    \"message\": \"No authority\"\n" +
                "}";
        response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
        response.setContentType(APPLICATION_JSON.toString());
        response.getWriter().println(noAuthMessage);
    }

response 응답에 권한이 없음을 알리는 메시지를 넣고 response에 그대로 넣어 줬다.

이때 궁금했던것은 Access-Control-Allow-Origin 같은 CORS 를 위한 헤더를 직접 넣어 줘야 하는지 말아야 하는지 였다.

결론은 필요없다.

response를 응답에 cors 설정을 사용하여서 권한이 있을 때 응답하는 헤더와 동일하게 처리되었다.