[20210708] (Spring Security) @EnableGlobalMethodSecurity vs @EnableWebSecurity, @PreAuthorize, @PostAuthorize

[JuHyun419]

Spring Security - @EnableGlobalMethodSecurity vs @EnableWebSecurity

@EnableGlobalMethodSecurity

• @PreAuthorize, @PostAuthorize 등 메서드에 AOP security를 제공하는 스프링 시큐리티 설정

@EnableWebSeucirty

• HttpSecurity을 통한 설정을 제공하는 스프링 시큐리티

메서드 단계에서 시큐리티를 적용하는 @PreAuthorize, @PostAuthorize 와 같은 어노테이션을 사용한다면
@EnableGlobalMethodSecurity 설정을, 그게 아닌 일반적인 경우는 @EnableWebSecurity 을 선언


@Configuration
@Log4j2
@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true)
@EnableWebSecurity
public class SecurityConfig extends WebSecurityConfigurerAdapter {
    ...

@PreAuthorize

• method에 진입하기 전 권한 체크

@PostAuthorize

• method 실행 후 권한 체크

    // 관리자(admin) 권한을 가진 사용자만 접근 가능
    @PreAuthorize("hasRole('ADMIN')")
    @GetMapping("/admin")
    public void admin() {
        log.info("admin........");
    }


    // 특별 정해진 사용자만 해당 메서드를 실행하도록 설정 => "user95@zerock.org" 의 사용자만 해당 메소드 접근 가능
    @PreAuthorize("#clubAuthMemberDto != null && #clubAuthMemberDto.username eq \"user95@zerock.org\"")
    @GetMapping("/only")
    public String memberOnly(@AuthenticationPrincipal ClubAuthMemberDto clubAuthMemberDto) {
        log.info(clubAuthMemberDto);

        return "/sample/admin";
    }


    @PostAuthorize
      ("returnObject.username == authentication.principal.nickName")
    public CustomUser loadUserDetail(String username) {
        return userRoleRepository.loadUserByUserName(username);
    }

• https://www.baeldung.com/spring-security-method-security
• https://www.concretepage.com/spring/spring-security/preauthorize-postauthorize-in-spring-security
• https://stackoverflow.com/questions/29721098/enableglobalmethodsecurity-vs-enablewebsecurity