[ Spring Security ] 동적 URL 접근 권한 제어 구현

 

 

 

 

 

 

🌱 Spring Security: 동적 URL 접근 권한 제어 구현

 

개요

Spring Security는 기본적으로 정적 방식의 URL 접근 제어를 제공한다. 하지만 실무에서는 권한 정책이 자주 변경되거나, URL 접근 권한을 관리 화면에서 실시간으로 제어해야 하는 요구가 많다.

 

"GUEST 사용자에 대한 접근 가능 URL"을 DB에서 동적으로 관리하고, 이를 Spring Security에 실시간 반영 될 수 있도록 구현한 내용을 정리할 예정이다.

 

 

 

핵심 목표

• GUEST(비로그인 사용자)의 접근 URL을 DB에서 관리
• Spring Security의 인증 필터 이전에 동적으로 URL 접근 여부 판단
• 권한 정보는 캐싱하여 성능 최적화
• 재기동 없이 정책 변경 가능

 

 

기술 구성

• Spring boot 3.x
• Spring Security 5.5 이상
• Java 17
• @Scheduled (캐시 갱신)

 

 

시스템 구조 요약

DB 테이블 구성

• roles: 권한 이름, 삭제여부 등
• menus: URL, 메뉴 이름, 활성여부 등
• menu_role: 메뉴와 권한의 매핑

전체 흐름

1. 사용자 요청

2. Spring Security에서 AuthorizationManager로 위임

3. AuthorizationManager에서 캐시된 guest URL 목록과 비교

4. 허용 여부 결정 

 

 

 

 

구현 상세

 

1. Spring boot 프로젝트 생성

https://euntry.tistory.com/53

[ VScode ] vscode에서 java spring boot 프로젝트 생성

 

 

 

2. build.gradle (Spring boot 3.x 기준)

 

dependencies {
    // Spring Boot Web
    implementation 'org.springframework.boot:spring-boot-starter-web'

    // Spring Security
    implementation 'org.springframework.boot:spring-boot-starter-security'
    // Spring Security에서 AuthorizationManager 사용 가능
    // (Security 5.5 이상부터 사용 가능)

    // 스케줄링 (@Scheduled)
    implementation 'org.springframework.boot:spring-boot-starter'

    // Lombok
    compileOnly 'org.projectlombok:lombok'
    annotationProcessor 'org.projectlombok:lombok'
}

 

 

 

 

3. 스케줄링 활성화

@EnableScheduling 어노테이션 추가

 

@SpringBootApplication
@EnableScheduling
public class YourApplication {
    public static void main(String[] args) {
        SpringApplication.run(YourApplication.class, args);
    }
}

 

"@EnableScheduling"은 Spring에게 스케줄링 기능을 활성화하라고 지시하는 어노테이션이다.

Spring boot 프로젝트에서 이 오노테이션은 명시적으로 추가해야 하며, 자동 활성화되지 않는다.

 

 

 

4. GUEST 접근 가능 URL 캐시 설정

"@Cacheable"을 사용해 GUEST가 접근 가능한 URL을 캐싱한다. DB를 매번 조회하지 않아 성능적으로 유리

 

@Cacheable(value = CACHE_KEY.SECURITY, key = "'guestUrls'", unless = "#result == null or #result.isEmpty()")
public List<String> getGuestAccessibleUrls() {
    log.info(">>> DB에서 GUEST_ROLE 접근 가능 URL 조회");

    return menuRoleRepository.findByRole_RoleSeqAndMenu_ActiveYnAndDelYn(ROLE_KEY.GUEST, ActiveYn.Y, DelYn.N)
        .stream()
        .map(menuRole -> converToWildcardpattern(menuRole.getMenu().getMenuUrl()))
        .filter(Objects::nonNull)
        .distinct()
        .collect(Collectors.toList());
}

@CacheEvict(value = CACHE_KEY.SECURITY, key = "'guestUrls'")
public void refreshGuestAccessibleUrls() {
    // 별도 로직 불필요, 캐시만 제거됨 → 다음 호출 시 자동 재로딩
}

private String converToWildcardpattern(String url) {
    // RESTful 경로 변수({...})를 *로 변환해 URL 패턴 정규화
    return StringUtils.hasText(url) ? url.replaceAll("\\{[^}]+\\}", "*") : url;
}

 

 

 

 

5. 캐시 갱신 스케줄러

 

@Component
@RequiredArgsConstructor
@Slf4j
public class PermitAllCacheRefresher {

    private final MenuRoleService menuRoleService;

    @Scheduled(fixedRate = 600000) // 10분 간격 실행
    public void refreshPermitAllUrls() {
        //log.info("GUEST ROLE 접근 가능 URL 캐시 갱신");
        menuRoleService.refreshGuestAccessibleUrls();
    }
}

 

 

 

 

6. GuestUrlAuthorizationManager 구현

 

@Component
@RequiredArgsConstructor
public class GuestUrlAuthorizationManager implements AuthorizationManager<RequestAuthorizationContext> {

    private final MenuRoleService menuRoleService;

    @Override
    public AuthorizationDecision check(Supplier<Authentication> authentication, RequestAuthorizationContext context) {
        HttpServletRequest request = context.getRequest();
        String requestURI = request.getRequestURI();

        List<String> guestUrls = menuRoleService.getGuestAccessibleUrls();

        boolean isGuestUrl = guestUrls.stream()
                                        .filter(StringUtils::hasText)
                                        .anyMatch(pattern -> requestURI.matches(convertToRegex(pattern)));

        Authentication auth = authentication.get();

        // 인증되지 않은 사용자만 guest URL 접근 허용
        boolean isGuest = !auth.isAuthenticated() || auth instanceof AnonymousAuthenticationToken;

        if (isGuest && isGuestUrl) {
            return new AuthorizationDecision(true);
        }

        // 인증된 사용자는 통과 (인증 여부만 확인)
        if (auth.isAuthenticated() && !(auth instanceof AnonymousAuthenticationToken)) {
            return new AuthorizationDecision(true); // 로그인 사용자 → 통과
        }

        return new AuthorizationDecision(false); // 나머지는 차단
    }

    private String convertToRegex(String pattern) {
        // Spring URL 패턴을 정규식으로 변환
        String regex = pattern
                .replace(".", "\\.")
                .replace("**", ".*")
                .replace("*", "[^/]*");
        return "^" + regex + "$";
    }
}

 

 

 

 

7. Spring Security 설정

 

@Bean
public SecurityFilterChain securityFilterChain(HttpSecurity http, GuestUrlAuthorizationManager guestAuthManager) throws Exception {
    http
        .csrf(AbstractHttpConfigurer::disable)
        .authorizeHttpRequests(auth -> auth
            .requestMatchers("/css/**", "/images/**", "/js/**", "/error/**").permitAll()
            .anyRequest().access(guestAuthManager)
        )
        .formLogin(...)
        .logout(...)
        .sessionManagement(...);

    return http.build();
}

 

 

 

 

---

 

정리 및 효과

• DB에서 직접 URL 접근 정책을 관리 → 운영자가 직접 제어 가능
• 서버 재기동 없이 실시간 반영 가능 (@CacheEvict + @Scheduled) → 운용 효율 ↑
• 보안 정책이 코드와 분리되어 유지보수 간편
• AuthorizationManager를 통해 역할 기반 제어 확장 가능