• @EnableWebSecurity : 스프링 시큐리티를 활성화 하고 웹 보안 설정하는데 사용된다. 해당 config 클래스가 FilterChain이라는 것을 알려주는 어노테이션이다.
• BCryptPasswordEncoder : DB에 패스워드 저장시 암호화 해서 넣어주는 스프링 시큐리티가 제공하는 클래스 중 하나이다(PasswordEncoder를 상속받음)
• csrf: Spring Security는 기본적으로 csrf가 설정되어 있다. csrf는 요청을 통한 공격으로(url을 통해 등록, 수정, 삭제 등 특정 웹사이트에 요청하도록 하는 공격)
• authorizeHttpRequests : 어떤 요청 url에 인가를 해줄지 결정해주는 메서드이다.
• requestMatchers() : 해당 url에 대한 권한 지정
• authenticated() : 인증이 되어야 접근이 가능
• permitAll() : 모두에게 허가
• formLogin : app에서 사용자의 인증을 처리하기 위해 폼 기반의 로그인 페이지url을 제공
• loginPage : 매개변수 안의 경로가 로그인 폼 페이지로 이동시켜준다.

추가 설명

WebMvcConfigurerAdapter

→ Spring boot에서는 이제 지원을 하지 않는다고 한다. 대신 SecurityFilterChain이라는 빈에 등록하여 해결

AbstractHttpConfigurer 와 SecurityFilterChain

• AbstractHttpConfigurer가 갖가지 보안 설정 HttpSecurity를 구성하는데 사용한다.

  • Http 보안 구성을 돕는 추상 클래스이다.
  • 이 클래스를 확장하여 Spring Security의 http security 를 구성하는데 사용되는 커스텀 보안 구성 요소를 만들 수 있다.
  • 이것의 주된 목적은 spring security 설정을 모듈화하고 재사용 가능하게 만드는 것이다.
  • 예시

  public class CustomConfigurer extends AbstractHttpConfigurer<CustomConfigurer, HttpSecurity> {
  
      @Override
      public void configure(HttpSecurity http) throws Exception {
          // 커스텀 보안 로직 구현
      }
  }
  
  

  @EnableWebSecurity
  public class SecurityConfig extends WebSecurityConfigurerAdapter {
  
      @Override
      protected void configure(HttpSecurity http) throws Exception {
          http
              // 기타 보안 설정
              .apply(new CustomConfigurer()) // 여기에 커스텀 구성 요소 추가
              // 기타 보안 설정 계속
              ;
      }
  }
  
  

• SecurityFilterChain은 이렇게 정의된 보안 설정 HttpSecurity를 적용하는데 사용합니다.