Spring Boot 보안 기초 (Spring Security)

<dependency>
    <groupId>org.springframework.boot</groupId>
    <artifactId>spring-boot-starter-security</artifactId>
</dependency>

dependencies {
    implementation 'org.springframework.boot:spring-boot-starter-security'
}

@Configuration
@EnableWebSecurity
public class SecurityConfig {
 
    @Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http
            .csrf(csrf -> csrf.disable()) // REST API 환경에서는 CSRF 비활성화 권장
            .authorizeHttpRequests(auth -> auth
                .requestMatchers("/api/public/**").permitAll() // 누구나 접근 가능
                .requestMatchers("/api/admin/**").hasRole("ADMIN") // 관리자만 접근 가능
                .anyRequest().authenticated() // 나머지는 로그인 필수
            )
            .httpBasic(Customizer.withDefaults()); // 기본 인증 방식 사용
            
        return http.build();
    }
 
    @Bean
    public PasswordEncoder passwordEncoder() {
        return new BCryptPasswordEncoder(); // 비밀번호는 반드시 암호화하여 저장
    }
}

@Bean
public UserDetailsService userDetailsService() {
    UserDetails user = User.builder()
            .username("user")
            .password(passwordEncoder().encode("1234"))
            .roles("USER")
            .build();
    return new InMemoryUserDetailsManager(user);
}