Spring Securirty 6 이상 버전에서 h2-console 403 에러 나는 문제

기존에 하던 것 처럼 http.requestMatchers("/h2-console/**").permitAll() 로 h2-console에 대한 접근을 허용해주려고 했지만 계속해서 403(forbidden) 에러가 났다.

구글링을 통해 해결한 결과

@Bean
    public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
        http.authorizeHttpRequests()
                .requestMatchers("/users/**").permitAll()
                .and()
                .authorizeHttpRequests(auth -> auth
                        .requestMatchers(AntPathRequestMatcher.antMatcher("/h2-console/**")).permitAll()
                )
                .headers(headers -> headers.frameOptions().disable())
                .csrf().disable();

        return http.build();
    }

다음과 같은 코드로 해결할 수 있었다.

버전이 업그레이드 되면서 authorizeHttpRequests()를 사용하도록 변경 되었는데 Spring MVC를 사용하는 경우 authorizeHttpRequests() .requestMatchers 는 MvcRequestMatcher를 사용한다.

하지만 H2 콘솔은 Spring MVC에 의해 제어되지 않기 때문에 AntPathRequestMatcher를 사용해야 한다.

따라서 위와 같이 AntPathRequestMatcher 로 변환해서 접근을 허용해주었다.

 

참고

https://github.com/spring-projects/spring-security/issues/12546