이전에 발생했던 문제

[Spring Security 문제 해결] Spring Security 관련 Preflight 의 401 이슈 발생 문제 그리고 브라우저의 http 캐시

이전에 관련한 문제가 발생했었는데 상황이 조금 다르게 발생했다. 그래서 문제를 다시금 해결하면서 확실하게 문제와 개념을 깨부숴 버리도록 한다. 이전의 포스트는 브라우저 캐시에 집중했다면 이번 포스트는 CORS 와 Preflight, Spring Security 의 특성등에 대해 다루게 된다.

문제 상황

React + Axios 로 헤더에 Authorization 토큰을 달았다.
Spring 에서는 CORS 설정을 했고 추가로 Spring Security 에서는 설정을 통해 Authorization 토큰을 검사한다
그런데 403 에러가 뜨며 토큰이 없다고 한다.
- (이 포스트의 경우는 레거시 앱의 코드 때문에 403을 401 에러로 치환해서 발생하였음
실제로 디버거로 찍어보니 Authroization 토큰이 없다.

코드는 다음과 같다.

React 에서 Axios 전송

const result = await axios.options<any>("MY_URL",
    { headers: { "Authorization": "Bearer MY_TOKEN" } })

Spring Security Config

http
  .sessionManagement()
	.sessionCreationPolicy(SessionCreationPolicy.STATELESS)
		// 쿠키 방식 X, 세션 저장 X, JWT O
  .and()
  .csrf().disable()
  .exceptionHandling()
	.authenticationEntryPoint(new RestAuthenticationEntryPoint())
  .accessDeniedHandler(tokenAccessDeniedHandler)
  .and()
  .authorizeRequests()
  .requestMatchers(CorsUtils::isPreFlightRequest).permitAll()

	.antMatchers("MY_URL").hasAnyAuthority(RoleType.USER.getCode())
	.antMatchers("OTHER_URL").permitAll()

http.cors().disable();

아래줄에 보면 http.cors().disable() 이 있는데 기존 레거시 (ThymeLeaf) 를 React 로 전환하는 프로젝트이다 보니 기존 프로젝트의 설정에 이렇게 cors disable 옵션이 붙어있었다. thymeleaf 와 spring MVC는 같은 도메인이기 때문에 CORS 설정 없이도 큰 문제가 되지 않는 듯 했다.

문제에 접근하기 전에 주의해야할 점

이 문제는 그렇게 어려운 문제가 아니었다. 하지만, 이 문제를 해결함에 있어 함정들이 도사리고 있다. 내가 정답을 찾아가는 길을 어지럽한 함정들을 한 번 정리해본다.