• <intercept-url pattern=“/someurl/*” filters=“none” /> 에서 filters=“none”이면 해당 URL에서는 Spring Security 관련 기능이 아무것도 작동하지 않게 된다.

• Writing your spring security expression language annotation Part 1 Part 2 Part 3
• WebSecurityExpressionRoot를 상속하여 표현식 함수를 추가한다.
• DefaultWebSecurityExpressionHandler를 상속하여 Expression Handler를 만든다.

• java - How to create custom methods for use in spring security expression language annotations 참조

<global-method-security>
  <expression-handler ref="myMethodSecurityExpressionHandler"/>
</global-method-security>

• SpringSecurity 3.0 에서는 XML 태그를 통해 웹 전반에 관한 expressionHandler 설정이 불가능 하다. SEC-1452 버그 참조. 3.1부터 가능.
• access-decision-manager-ref를 지정함으로써만 가능하다. 다음 참조.

<!-- This must go before the http element in order to be used by security:authorize tags using the access attribute -->
<bean id="expressionHandler" class="org.springframework.security.web.access.expression.DefaultWebSecurityExpressionHandler">
  <property name="roleHierarchy" ref="roleHierarchy" /> <!-- 꼭 필요한지는 의문 -->
</bean>
 
<security:http auto-config="true" use-expressions="true" access-decision-manager-ref="accessDecisionManager">
  ...
</security:http>
 
<!-- security:authorize tags using the url attribute will delegate to this accessDecisionManager -->
<bean id="accessDecisionManager" class="org.springframework.security.access.vote.AffirmativeBased">
  <property name="decisionVoters">
    <list>
      <ref bean="webExpressionVoter" />
    </list>
  </property>
</bean>
 
<bean id="webExpressionVoter" class="org.springframework.security.web.access.expression.WebExpressionVoter">
  <property name="expressionHandler" ref="expressionHandler" />
</bean>
 
<!-- 꼭 필요한지는 의문 -->
<bean id="roleHierarchy" class="org.springframework.security.access.hierarchicalroles.RoleHierarchyImpl">
  <property name="hierarchy">
    <value>
      ROLE_A > ROLE_B
      ROLE_B > ROLE_AUTHENTICATED
      ROLE_AUTHENTICATED >
      ROLE_UNAUTHENTICATED
    </value>
  </property>
</bean>

• 권한이 없을 경우 발생하는 에러를 잡아서 처리하는 핸들러를 지정할 수 있다.
• 지정안하면 기본적으로 403 Forbidden 페이지가 뜬다.

• <access-denied-handler ref="accessDeniedHandler 빈"/>
  <!-- 혹은 에러 처리 주소 지정 -->
  <access-denied-handler error-page="/accessDenied.do" />

• org.springframework.security.web.access.AccessDeniedHandler를 구현하여 Bean으로 등록하면 된다.
• 에러처리 컨트롤러 주소 지정시에는 WebAttributes.ACCESS_DENIED_403 키로 request객체의 속성을 받아서 AccessDeniedException 예외 객체를 구할 수 있다.

SpringSecurity는 로그인 혹은 권한 관련예외가 발생할 경우 세션에 해당 예외를 저장한다. (SimpleUrlAuthenticationFailureHandler의 saveException() 참조)

문제는 기계화된 로그인 공격이 들어올 경우 예외들이 모두 세션에 저장되어 메모리 고갈을 일으킨다는 점이다. 이 때문에 AuthenticationFailureHandler를 SimpleUrlAuthenticationFailureHandler를 상속하여 구현하면서 saveException()을 호출하지 않도록 하는 것이 좋다.

해당 구현체를 다음과 같이 설정해 준다.

<form-login ... authentication-failure-handler-ref="AuthenticationFailureHandler구현체" />