SecurityFilterChain2 SecurityFilterChain 완전정복: 요청 매칭/인가 룰 제대로 이해하기 SecurityFilterChain 완전정복: 요청 매칭/인가 룰 제대로 이해하기Spring Security 6에서는 SecurityFilterChain과 authorizeHttpRequests() 조합이 보안 규칙의 중심입니다. 요청 매칭(request matcher) → 인가 규칙 → 예외 처리 순서로 명확하게 설계하면, 예상치 못한 허용/차단을 피할 수 있습니다. 이 글에서는 실전에서 바로 쓰는 설정 패턴을 코드와 함께 정리합니다.1) 최소 예제: “더 구체적인 규칙을 먼저, anyRequest는 맨 마지막”정적 리소스/로그인/헬스체크는 허용, 나머지는 인증 필요. 규칙 순서가 중요합니다.@Configuration@EnableMethodSecurity // @PreAuthorize 등 메서드 보안 .. 2025. 10. 11. Spring Security 6: JWT 로그인/리프레시 토큰 Spring Security 6: JWT 로그인/리프레시 토큰 실무 가이드제가 운영하던 서비스에서 가장 크게 데였던 사건 중 하나는“리프레시 토큰 만료 정책을 잘못 잡아서 새벽에 전체 로그인 기능이 멈췄던 일”입니다.코드만 보면 멀쩡해 보였는데, 만료 시간·Redis 설정·클라이언트 재발급 로직이 서로 어긋나면서수천 건의 로그인 실패 로그가 한꺼번에 쏟아졌습니다.그래서 이 글은 Spring Boot 3 + Spring Security 6 기준으로Access Token + Refresh Token 구조를 구현하는 동시에,실제 운영에서 경험했던 이슈와 설계 선택 이유까지 정리한 기록입니다.단순 코드 나열 튜토리얼이 아니라,“왜 이런 구조를 썼는지, 운영에서 어떤 문제가 생겼고 어떻게 막았는지”를 중심으로 설.. 2025. 10. 8. 이전 1 다음
