Spring Security 6.x 버전 업그레이드 후 continue 파라미터 붙는 현상 해결 방법과 원인

상황

 

기존 Spring Security 5.x 버전을 업그레이드 해서 Spring Security 6.1 버전으로 새롭게 빌드했습니다. 별도 에러는 없었으나 기존에 못 봤던 이상한 continue 파라미터가 붙어 있습니다. 

---

원인

출처 : https://docs.spring.io/spring-security/reference/5.8

 

 

공식 docs에서 알 수 있었습니다. Spring Security 5.x 버전에서는 모든 요청에 ​​대해 기본값이 null이다 보니 안정성 측면에서 좋지 못하고 판단하여 6.x 버전에서는 기본값을 continue로 설정되어 있기 때문에 파라미터가 생긴다고 합니다. 

 

아래 코드를 통해 파라미터를 재정의할 수 있습니다.

HttpSessionRequestCache requestCache = new HttpSessionRequestCache();
requestCache.setMatchingRequestParameterName(null);

 

 

제목에서 보다시피 최적화 목적으로 변경된 사항이므로 5.x 버전에서도 6.x 버전처럼 파라미터를 continue로 변경도 가능합니다. 

HttpSessionRequestCache requestCache = new HttpSessionRequestCache();
requestCache.setMatchingRequestParameterName("continue");

---

해결

기존 코드

@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
	return http
                .authorizeRequests()
                .requestMatchers(new AntPathRequestMatcher("/login"),
                                 new AntPathRequestMatcher("/signup"),
                                 new AntPathRequestMatcher("/user")).permitAll()
                .anyRequest().authenticated()
            	.and()
	...
}

 

별도 설정 없이 continue 파라미터가 생기므로 이 파라미터를 null로 바꿔서 url을 깔끔하게 만들어줍니다.

 

수정한 코드

@Bean
public SecurityFilterChain filterChain(HttpSecurity http) throws Exception {
	HttpSessionRequestCache requestCache = new HttpSessionRequestCache();
	requestCache.setMatchingRequestParameterName(null);

	return http
                .authorizeRequests()
                .requestMatchers(new AntPathRequestMatcher("/login"),
                                 new AntPathRequestMatcher("/signup"),
                                 new AntPathRequestMatcher("/user")).permitAll()
                .anyRequest().authenticated()
            	.and()
	...
}