docs: update requirements, questions

haero77 · haero77 · commit 87a58c64214f · 2025-03-18T22:20:50.000+09:00
diff --git a/README.md b/README.md
@@ -4,7 +4,7 @@
 
 ## 실습 - 취약점 대응(CsrfFilter)
 
->  CsrfFilter를 이용한 CSRF 공격 대응
+> CsrfFilter를 이용한 CSRF 공격 대응
 
 - [x] CsrfToken 구현
 - [x] CsrfTokenRepository 구현 - HttpSessionCsrfTokenRepository
@@ -25,22 +25,41 @@
 - [x] @EnableWebSecurity, HttpSecurityConfiguration를 이용한 HttpSecurity 빈 등록
 - [x] csrf 필터를 configurer를 이용하여 설정
 
-
 ## 2단계 - 인증 관련 리팩토링
 
 - [x] `.formLogin()` 메서드를 사용하여 폼 로그인 기능을 설정하고, U`sernamePasswordAuthenticationFilter`를 자동으로 추가한다.
 - [x] `.httpBasic()` 메서드를 사용해 HTTP Basic 인증을 설정하고, `BasicAuthenticationFilter`를 자동으로 추가한다.
-- [x] `.securityContext()` 메서드를 사용하여 `SecurityContextHolderFilter` 자동으로 추가   
-- [x] oauth2 리팩토링 
+- [x] `.securityContext()` 메서드를 사용하여 `SecurityContextHolderFilter` 자동으로 추가
+- [x] oauth2 리팩토링
   - [x] OAuth2AuthorizationRequestRedirectFilter 등록, OAuth2LoginAuthenticationFilter 등록
 
 ## 3단계 - 인가 관련 리팩토링
 
-## 4단계 - Auto Configuration 적용
+> 예시 코드
+
+```java
+
+@Bean
+public SecurityFilterChain securityFilterChain(HttpSecurity http) throws Exception {
+    http
+            .authorizeHttpRequests(authorize -> authorize
+                    .requestMatchers("/public").permitAll()  // /public 경로는 모두 허용
+                    .anyRequest().authenticated())  // 그 외의 경로는 인증 필요
+            .formLogin(Customizer.withDefaults())  // 폼 로그인
+            .httpBasic(Customizer.withDefaults());  // HTTP Basic 인증
 
----
+    return http.build();
+}
+```
+
+- [x] `authorizeHttpRequests()` 메서드 구현
+  - [x] `AuthorizeHttpRequestsConfigurer`를 이용한 설정
+  - [x] 특정 경로에 대해 인증 없이 접근 가능하도록 설정하고, 나머지 요청에 대해서는 인증이 필요하도록 설정한다.
+  - [x] 특정 경로에 대해서 권한에 따라 접근 가능하게 할지/말지를 설정한다
+
+## 4단계 - Auto Configuration 적용
 
-# 플로우차트를 활용한 깊은 이해
+# 플로우차트를 활용한 이해
 
 ## CSRF 공격 대응
 
diff --git a/docs/Questions.md b/docs/Questions.md
@@ -2,3 +2,16 @@
 
 - [ ] SSR에서는 HttpSessionCsrfTokenRepository, CSR에서는 CookieCsrfTokenRepository를 사용해야할 것 같은데, 그 이유를 얘기하고 근거가 적절한지 질문.
 
+### 인증 필터간 순서
+
+- 현재 구현한 HttpSecurity의 경우, 어떤 인증 메서드(`csrf()`, `oauth2Login()` 등)를 호출하냐에따라 SecurityFilterChain의 필터 순서가 결정된다.
+- 이 방식은 `authorizeHttpRequests()` 가 다른 인증 메서드보다 먼저 호출될 경우, `AuthorizationFilter`가 다른 인증 필터보다 먼저 수행하기 때문에 인증 전에 인가가 수행되버리는 문제가 있다.
+  - `authorizeHttpRequests()` 가 먼저 호출되어도 필터 체인의 가장 마지막에 순서를 위치시키도록 하는 로직이 필요함. (우선 강제로 순서를 맞춰주는 방식으로 구현)
+
+### authorizationFlter에서는 403을 리턴하는데 인증되지 않은 경우는 401을 리턴해야한다.
+
+- 문제를 해결하기 위해 exceptionTranslationFilter를 지금 구현하는 것은 오버 엔지니어링.
+
+### RoleHierarchy 가 빈으로 등록되었는데, 찾지 못하는 문제?
+
+- httpSecurity.build 보다 hasRole이 먼저 호출되고, 그래서 this.roleHierarchy 가 null이 되는 문제 발생
