Notice
Recent Posts
Recent Comments
Link
| 일 | 월 | 화 | 수 | 목 | 금 | 토 |
|---|---|---|---|---|---|---|
| 1 | 2 | |||||
| 3 | 4 | 5 | 6 | 7 | 8 | 9 |
| 10 | 11 | 12 | 13 | 14 | 15 | 16 |
| 17 | 18 | 19 | 20 | 21 | 22 | 23 |
| 24 | 25 | 26 | 27 | 28 | 29 | 30 |
Tags
- gson
- IntelliJ
- JavaScript
- jetbrains
- intellijIDEA
- docker
- Git
- nodejs
- Windows
- MySQL
- wildfly
- nginx
- tibero
- NCP
- mybatis
- Java
- springboot
- dbeaver
- react
- BPMN
- kubectl
- log4j2
- gradle
- useEffect
- Spring
- JPA
- Kubernetes
- LOG4J
- VSCode
- database
Archives
- Today
- Total
두 손끝의 창조자
AuthenticationEntryPoint에서 CORS with SpringSecurity 본문
들어온 요청에 대해서 인증에 실패하거나 권한이 없으면 수행되는 AuthenticationEntryPoint를 커스터 마이징 했을 때 CORS는 어떻게 되는건지 확인해봤다.
Spring Security 설정에 모든 /api/ 요청에 대해 거절하도록 했다.
<http pattern="/api/**" entry-point-ref="restAuthenticationEntryPoint">
<intercept-url pattern="/api/**" access="denyAll()"/>
<csrf disabled="true"/>
<cors configuration-source-ref="corsSource"/>
</http>그러면 /api/의 모든 요청은 거절되고 restAuthenticationEntryPoint 에 정의된 절차대로 수행한다.
public void commence(HttpServletRequest request, HttpServletResponse response, AuthenticationException authException) throws IOException, ServletException {
String noAuthMessage = "{\n" +
" \"status\": \"FAILURE\",\n" +
" \"message\": \"No authority\"\n" +
"}";
response.setStatus(HttpServletResponse.SC_UNAUTHORIZED);
response.setContentType(APPLICATION_JSON.toString());
response.getWriter().println(noAuthMessage);
}response 응답에 권한이 없음을 알리는 메시지를 넣고 response에 그대로 넣어 줬다.
이때 궁금했던것은 Access-Control-Allow-Origin 같은 CORS 를 위한 헤더를 직접 넣어 줘야 하는지 말아야 하는지 였다.
결론은 필요없다.
response를 응답에 cors 설정을 사용하여서 권한이 있을 때 응답하는 헤더와 동일하게 처리되었다.
반응형
Comments