jwt 수정중

2025-12-04 12:26:18 +09:00
parent 899f86d4a1
commit 18fcc2361e
15 changed files with 128 additions and 73 deletions
--- a/src/main/java/com/kamco/cd/kamcoback/config/SecurityConfig.java
+++ b/src/main/java/com/kamco/cd/kamcoback/config/SecurityConfig.java
@@ -2,6 +2,7 @@ package com.kamco.cd.kamcoback.config;

 import com.kamco.cd.kamcoback.auth.CustomAuthenticationProvider;
 import com.kamco.cd.kamcoback.auth.JwtAuthenticationFilter;
+import java.util.List;
 import lombok.RequiredArgsConstructor;
 import org.springframework.context.annotation.Bean;
 import org.springframework.context.annotation.Configuration;
@@ -11,6 +12,9 @@ import org.springframework.security.config.annotation.web.builders.HttpSecurity;
 import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;
 import org.springframework.security.config.http.SessionCreationPolicy;
 import org.springframework.security.web.SecurityFilterChain;
+import org.springframework.web.cors.CorsConfiguration;
+import org.springframework.web.cors.CorsConfigurationSource;
+import org.springframework.web.cors.UrlBasedCorsConfigurationSource;

@Configuration
@EnableWebSecurity
@@ -22,29 +26,39 @@ public class SecurityConfig {

  @Bean
  public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
-    http.csrf(csrf -> csrf.disable()) // CSRF 보안 기능 비활성화
-        .sessionManagement(
-            sm ->
-                sm.sessionCreationPolicy(
-                    SessionCreationPolicy.STATELESS)) // 서버 세션 만들지 않음 요청은 JWT 인증
-        .formLogin(form -> form.disable()) // react에서 로그인 요청 관리
-        .httpBasic(basic -> basic.disable()) // 기본 basic 인증 비활성화 JWT 인증사용
-        .logout(logout -> logout.disable()) // 기본 로그아웃 비활성화 JWT는 서버 상태가 없으므로 로그아웃 처리 필요 없음
-        .authenticationProvider(
-            customAuthenticationProvider) // 로그인 패스워드 비교방식 스프링 기본 Provider 사용안함 커스텀 사용
-        .authorizeHttpRequests(auth -> auth.anyRequest().permitAll());
-    //                auth.requestMatchers(
-    //                        "/api/auth/signin",
-    //                        "/api/auth/refresh",
-    //                        "/swagger-ui/**",
-    //                        "/v3/api-docs/**") // 로그인 없이 접근가능 url
-    //                    .permitAll()
-    //                    .anyRequest()
-    //                    .authenticated())
-    //        .addFilterBefore(
-    //            jwtAuthenticationFilter,
-    //            UsernamePasswordAuthenticationFilter
-    //                .class) // 요청 들어오면 먼저 JWT 토큰 검사 후 security context 에 사용자 정보 저장.
+    //    http.csrf(csrf -> csrf.disable()) // CSRF 보안 기능 비활성화
+    //      .sessionManagement(
+    //        sm ->
+    //          sm.sessionCreationPolicy(
+    //            SessionCreationPolicy.STATELESS)) // 서버 세션 만들지 않음 요청은 JWT 인증
+    //      .formLogin(form -> form.disable()) // react에서 로그인 요청 관리
+    //      .httpBasic(basic -> basic.disable()) // 기본 basic 인증 비활성화 JWT 인증사용
+    //      .logout(logout -> logout.disable()) // 기본 로그아웃 비활성화 JWT는 서버 상태가 없으므로 로그아웃 처리 필요 없음
+    //      .authenticationProvider(
+    //        customAuthenticationProvider) // 로그인 패스워드 비교방식 스프링 기본 Provider 사용안함 커스텀 사용
+    //      .authorizeHttpRequests(
+    //        auth ->
+    //          auth.requestMatchers(
+    //              "/api/auth/signin",
+    //              "/api/auth/refresh",
+    //              "/swagger-ui/**",
+    //              "/v3/api-docs/**")
+    //            .permitAll()
+    //            .anyRequest()
+    //            .authenticated())
+    //      .addFilterBefore(
+    //        jwtAuthenticationFilter,
+    //        UsernamePasswordAuthenticationFilter
+    //          .class) // 요청 들어오면 먼저 JWT 토큰 검사 후 security context 에 사용자 정보 저장.
+    http.csrf(csrf -> csrf.disable())
+        .sessionManagement(sm -> sm.sessionCreationPolicy(SessionCreationPolicy.STATELESS))
+        .formLogin(form -> form.disable())
+        .httpBasic(basic -> basic.disable())
+        .logout(logout -> logout.disable())
+        .authenticationProvider(customAuthenticationProvider)
+        .authorizeHttpRequests(
+            auth -> auth.anyRequest().permitAll() // 🔥 인증 필요 없음
+            );
    ;

    return http.build();
@@ -55,4 +69,18 @@ public class SecurityConfig {
      throws Exception {
    return configuration.getAuthenticationManager();
  }
+
+  @Bean
+  public CorsConfigurationSource corsConfigurationSource() {
+    CorsConfiguration config = new CorsConfiguration(); // CORS 객체 생성
+    config.setAllowedOriginPatterns(List.of("*")); // 도메인 허용
+    config.setAllowedMethods(List.of("GET", "POST", "PUT", "DELETE", "OPTIONS"));
+    config.setAllowedHeaders(List.of("*")); // 헤더요청 Authorization, Content-Type, X-Custom-Header
+    config.setAllowCredentials(true); // 쿠키, Authorization 헤더, Bearer Token 등 자격증명 포함 요청을 허용할지 설정
+
+    UrlBasedCorsConfigurationSource source = new UrlBasedCorsConfigurationSource();
+    /** "/**" → 모든 API 경로에 대해 이 CORS 규칙을 적용 /api/** 같이 특정 경로만 지정 가능. */
+    source.registerCorsConfiguration("/**", config); // CORS 정책을 등록
+    return source;
+  }
 }