스프링에서 메서드 보안(Method Security)을 설정하고 사용하는 방법은?

Q1: 스프링에서 메서드 보안(Method Security)이란 무엇인가요?
A1: 메서드 보안은 스프링 애플리케이션 내 특정 메서드 호출에 대해 권한 검사나 접근 제어를 하는 기능입니다. 주로 `@PreAuthorize`, `@PostAuthorize`, `@Secured`, `@RolesAllowed` 등의 어노테이션을 사용해 메서드 단위로 보안을 적용합니다.

---

Q2: 스프링에서 메서드 보안을 활성화하려면 어떻게 하나요?
A2:
1. `@EnableMethodSecurity` (스프링 시큐리티 6.x 이상) 또는 구 버전에서는 `@EnableGlobalMethodSecurity` 어노테이션을 보안 설정 클래스에 붙입니다.
2. 예)
```java
@Configuration
@EnableMethodSecurity
public class SecurityConfig {
// 시큐리티 설정
}
```

---

Q3: `@EnableGlobalMethodSecurity` 와 `@EnableMethodSecurity`의 차이점은 무엇인가요?
A3:
- `@EnableGlobalMethodSecurity`는 스프링 시큐리티 5.x 이전 버전에서 사용됩니다.
- `@EnableMethodSecurity`는 스프링 시큐리티 6.x부터 권장되는 어노테이션으로, 기능적으로 동일하지만 최신 API입니다.
- 최신 프로젝트에서는 `@EnableMethodSecurity` 사용을 권장합니다.

---

Q4: 메서드 보안을 선언할 수 있는 어노테이션에는 어떤 것들이 있나요?
A4: 주요 메서드 보안 어노테이션은 다음과 같습니다.
- `@PreAuthorize`: 메서드 실행 전 권한 체크 (SpEL 지원)
- `@PostAuthorize`: 메서드 실행 후 결과를 바탕으로 권한 체크
- `@Secured`: 역할 기반 접근 제어 (단일 또는 배열로 역할 지정)
- `@RolesAllowed`: 자바 표준 `javax.annotation.security`의 역할 권한 지정
- `@PreFilter`, `@PostFilter`: 컬렉션 필터링 지원

---

Q5: `@PreAuthorize` 예제는 어떻게 작성하나요?
A5:
```java
@PreAuthorize("hasRole('ADMIN')")
public void adminOnlyMethod() {
// 관리자만 접근 가능
}
```
또는 SpEL 표현식으로 현재 사용자 이름 체크 가능:
```java
@PreAuthorize(" username == authentication.name")
public void updateProfile(String username) {
// 본인 프로필만 수정 가능
}
```

---

Q6: `@Secured` 어노테이션 사용법 예시를 알려주세요.
A6:
```java
@Secured({"ROLE_ADMIN", "ROLE_MANAGER"})
public void manage() {
// 관리자 또는 매니저만 접근 가능
}
```
주의: `@Secured` 는 역할 이름 앞에 항상 `ROLE_` 접두사가 붙는 것을 요구합니다.

---

Q7: 메서드 보안에서 SpEL을 사용하고 싶으면 어떤 제한사항이 있나요?
A7:
- `@PreAuthorize`, `@PostAuthorize`는 SpEL을 지원하여 복잡한 조건 검사가 가능합니다. - `@Secured`, `@RolesAllowed`는 문자열 기반 역할 매칭만 지원하며 SpEL을 지원하지 않습니다.

---

Q8: 스프링 구성 클래스에 메서드 보안 활성화 설정 시 필요한 권한Evaluator를 커스터마이징할 수 있나요?
A8:
네, `MethodSecurityExpressionHandler`를 빈으로 등록하여 커스터마이징이 가능합니다. 예:
```java
@Configuration
public class MethodSecurityConfig extends GlobalMethodSecurityConfiguration {
@Override
protected MethodSecurityExpressionHandler createExpressionHandler() {
return new CustomMethodSecurityExpressionHandler();
}
}
```

---

Q9: 프록시 기반 메서드 보안 활성화 시 주의할 점은 무엇인가요?
A9:
- 기본적으로 스프링 메서드 보안은 프록시를 이용해 동작합니다.
- 동일 클래스 내부에서 메서드를 호출하면 보안이 작동하지 않습니다(자기 자신 호출 무시).
- 이 문제를 해결하려면 AspectJ 기반 메서드 보안(`proxyTargetClass=true` 또는 `mode=AspectJ`) 사용을 고려할 수 있습니다.

---

Q10: 메서드 보안을 적용할 때 인터페이스와 클래스 중 어디에 어노테이션을 붙여야 하나요?
A10:
- 기본적으로 프록시는 인터페이스 기반이기 때문에 인터페이스의 메서드에 붙여야 보안이 동작합니다.
- 클래스 기반 프록시(CGLIB)를 사용 설정하면 클래스 메서드에도 적용 가능하며 권장 방법입니다.

---

Q11: 메서드 보안 적용 예시 (간단한 서비스 클래스)
A11:
```java
@Service
public class ProductService {

@PreAuthorize("hasRole('ADMIN')")
public void addProduct(Product product) {
// 상품 추가 로직
}

@PreAuthorize("permitAll()")
public List listProducts() {
// 모든 사용자 접근 가능
}
}
```

---

Q12: 메서드 보안 기능을 잘 테스트하려면 어떻게 해야 하나요?
A12:
- 테스트 시 `@WithMockUser`나 `@WithUserDetails` 어노테이션으로 인증된 사용자 지정
- 메서드 호출 시 권한에 따른 접근 허가/거부 여부 확인
- 예외 `AccessDeniedException` 발생 여부 체크

---

요약:
- `@EnableMethodSecurity` 활성화
- 메서드에 `@PreAuthorize`, `@Secured` 등 붙임
- 표현식 사용 시 SpEL 활용
- 프록시와 내부 메서드 호출 이슈 주의
- 테스트 시 `@WithMockUser` 추천

이렇게 하면 스프링에서 간편하게 메서드 단위 보안을 설정하고 운용할 수 있습니다.

스프링의 스케줄링(Scheduling) 기능을 사용하여 주기적인 작업을 처리하는 방법은?

스프링에서 커스텀 필터(Custom Filter)와 인터셉터(Interceptor)를 사용하는 방법은?

스프링에서 메서드 보안(Method Security)을 설정하고 사용하는 방법에 대해 알아보겠습니다.

메서드 보안은 애플리케이션의 서비스 계층에서 메서드 호출에 대한 접근 제어를 제공하는 기능입니다.

이를 통해 특정 메서드에 대한 접근 권한을 세밀하게 설정할 수 있습니다.

1. 의존성 추가스프링 메서드 보안을 사용하기 위해서는 `spring-security-config` 의존성을 추가해야 합니다.

Maven을 사용하는 경우, `pom.xml`에 다음과 같이 추가합니다.

```xml org.springframework.boot spring-boot-starter-security org.springframework.security spring-security-config```Gradle을 사용하는 경우, `build.gradle`에 다음과 같이 추가합니다.

```groovyimplementation 'org.springframework.boot:spring-boot-starter-security'implementation 'org.springframework.security:spring-security-config'```

2. 메서드 보안 활성화메서드 보안을 활성화하려면, `@EnableGlobalMethodSecurity` 애너테이션을 사용하여 보안 설정 클래스를 작성해야 합니다.

이 클래스는 `@Configuration` 애너테이션과 함께 사용됩니다.

```javaimport org.springframework.context.annotation.Configuration;import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity;import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity;@Configuration@EnableWebSecurity@EnableGlobalMethodSecurity(prePostEnabled = true, securedEnabled = true, jsr250Enabled = true)public class SecurityConfig { // 추가적인 보안 설정}```

3. 메서드 보안 애너테이션 사용메서드 보안을 활성화한 후, 다양한 애너테이션을 사용하여 접근 제어를 설정할 수 있습니다.

- `@PreAuthorize`: 메서드 호출 전에 권한을 검사합니다.

- `@PostAuthorize`: 메서드 호출 후에 권한을 검사합니다.

- `@Secured`: 특정 역할에 대한 접근을 제어합니다.

- `@RolesAllowed`: JSR-250 표준 애너테이션으로, 특정 역할에 대한 접근을 제어합니다.

# 예제```javaimport org.springframework.security.access.prepost.PreAuthorize;import org.springframework.stereotype.Service;@Servicepublic class UserService { @PreAuthorize("hasRole('ADMIN')") public void adminMethod() { // 관리자만 접근할 수 있는 메서드 } @PreAuthorize("hasAuthority('ROLE_USER') or hasAuthority('ROLE_ADMIN')") public void userMethod() { // 사용자와 관리자 모두 접근할 수 있는 메서드 } @Secured("ROLE_USER") public void securedMethod() { // ROLE_USER만 접근할 수 있는 메서드 }}```

4. 테스트메서드 보안이 제대로 작동하는지 테스트하려면, 해당 메서드를 호출하는 클라이언트 코드를 작성하고, 각 사용자 역할에 따라 접근이 허용되거나 거부되는지 확인합니다.



5.스프링에서 메서드 보안을 설정하고 사용하는 방법에 대해 알아보았습니다.

메서드 보안은 애플리케이션의 보안을 강화하는 중요한 요소이며, 적절한 권한 관리를 통해 애플리케이션의 안전성을 높일 수 있습니다.

필요에 따라 다양한 애너테이션을 활용하여 세밀한 접근 제어를 구현할 수 있습니다.