개요
SSL 인증서를 설치하고 난 뒤 성공하여 테스트를 진행할 경우 https를 붙여 테스트를 합니다.
하지만 여기서 우리가 간과한 것이 있습니다. 해당 페이지는 https로만 페이지가 열려야하는데 http로도 열리게 됩니다.
이렇게 되어서는 인증서를 적용한 의미가 없지요 그래서 Spring-security의 일부 기능을 이용하여 지정된 페이지 혹은 URL Pattern에 따라 강제로 https로 열리게 할 수 있는 기능을 구현하도록 해봅시다.
준비물
저는 구성되어 있는 환경이 Spring 3.2 이므로 Spring-security도 3.2로 구성하도록 하겠습니다.
1. Spring Framework 3.2 환경
2. Spring-security 3.2 jar ( 예제에 사용된 라이브러리 - 
spring-security-3.2.0.M1.zip
(maven을 사용하지 않는경우는 블로그를 참조하여 파일을 준비합니다. http://cheezred.tistory.com/123)
환경 설정
우리가 작업할 파일은 수정할 web.xml 파일과 신규로 생성할 spring-security.xml 입니다.
먼저 spring-security.xml을 먼저 생성합니다. 일반적으로 해당 파일의 위치는 Spring Framework 설정파일과 같은 위치에 생성합니다.
- spring-security.xml
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 | <?xml version="1.0" encoding="UTF-8"?> <beans xmlns="http://www.springframework.org/schema/beans" xmlns:security="http://www.springframework.org/schema/security" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xsi:schemaLocation="http://www.springframework.org/schema/beans http://www.springframework.org/schema/beans/spring-beans-3.1.xsd http://www.springframework.org/schema/security http://www.springframework.org/schema/security/spring-security-3.1.xsd"> <security:http pattern="/resources/**" security="none" /> <security:http auto-config="true"> <security:intercept-url pattern="/**" requires-channel="https" /> </security:http> <security:authentication-manager></security:authentication-manager> </beans> | cs |
>> Source Detail
<security:http pattern="/resources/**" security="none" />
=> url pattern이 /resources/로 시작되는 요청은 spring security 를 적용하지 않음
<security:intercept-url pattern="/**" requires-channel="https" />
=> 모든 요청에 대해서 https 통신을 적용하겠다 라는 내용입니다.
여러 패턴을 구성하여 http 및 https를 구분하여 페이지를 요청 할 수 있습니다.
- web.xml #1
1 2 3 4 5 6 7 8 9 10 11 | <!-- Spring Security Start --> <filter> <filter-name>springSecurityFilterChain</filter-name> <filter-class>org.springframework.web.filter.DelegatingFilterProxy</filter-class> </filter> <filter-mapping> <filter-name>springSecurityFilterChain</filter-name> <url-pattern>/*</url-pattern> </filter-mapping> <!-- Spring Security End --> | cs |
>> Source Detail
위의 부분을 web.xml에 추가합니다. 주의할 점이 있는데 springSecurityFilterChain 이름을 변경하지 마시기 바랍니다. 클래스를 못찾는 오류가 발생합니다.
- web.xml #2
1 2 3 4 5 6 7 | <context-param> <param-name>contextConfigLocation</param-name> <param-value> /WEB-INF/spring/datasource.xml /WEB-INF/spring/spring-security.xml </param-value> </context-param> | cs |
위의 붉은색 항목을 web.xml에 추가합니다. 위에서 작성한 spring-security.xml을 WAS 기동 시 적용시키기 위함입니다.
주의 할점은 web.xml에 DispatcherServlet 항목이 있는데 그곳에 추가하시는 것이 아니라는 것입니다.
contextConfigLocation 항목이 없으신 경우 추가하셔서 붉은색 부분을 넣으시면 됩니다.
작성자는 contextConfigLocation를 사용하고 있어 붉은색 부분을 추가한 부분입니다.
테스트
- https로 호출되어야 하는 페이지를 http로 호출해 봅니다. https로 변환되어 페이지가 열리면 올바르게
설정되었다고 할 수 있습니다.
웹사이트에 Spring security에 대한 글이 많습니다. 아래 소개한 기능외에 많은 기능이 있습니다. 작성자는 https로 페이지를 분기하기 위한 기능만 사용한 예시 입니다. 해당 글들을 다수 정독하였지만 올바르게 작성된 글이 없어 실제 사용된 소스를 기반으로 작성되었습니다.
'Development > Java' 카테고리의 다른 글
| [Mybatis] java.lang.NumberFormatException 발생 (0) | 2017.04.20 |
|---|---|
| [Quartz] 1.x.x 사용하다 2.x.x로 변경 시 변경된 메서드 (0) | 2017.03.16 |
| Jar File Download Site (2) | 2016.12.20 |
| Spring과 Quartz 연동 (0) | 2016.10.27 |
| Java Locale List (0) | 2016.08.31 |