ASP.NET Core에서 인증과 권한 부여를 관리하는 'AuthorizeFilter' 사용하기

  • 4 minutes to read

AuthorizeFilter 필터 소개

ASP.NET Core는 다양한 보안 기능을 제공하는데, 그 중 하나가 'AuthorizeFilter'입니다. 이 필터를 사용하면 애플리케이션의 인증과 권한 부여를 관리할 수 있습니다.

'AuthorizeFilter'는 컨트롤러나 액션 메서드에서 'Authorize' 특성을 사용하여 쉽게 적용할 수 있습니다. 예를 들어, 다음과 같은 코드를 사용하면 'AdminController' 클래스에서 'Admin' 역할을 가진 사용자만 액세스할 수 있도록 설정할 수 있습니다.

[Authorize(Roles = "Admin")]
public class AdminController : Controller
{
    // ...
}

위 코드에서 'Authorize' 특성은 'AdminController' 클래스에서 'Admin' 역할을 가진 사용자만 액세스할 수 있도록 설정합니다. 이 경우 'AuthorizeFilter'는 요청한 사용자가 'Admin' 역할을 가지고 있는지 검사하고, 해당 역할을 가지고 있지 않은 경우 요청을 거부합니다.

'AuthorizeFilter'는 다양한 인증 및 권한 부여 방식을 지원합니다. 기본적으로 'AuthorizeFilter'는 쿠키 기반 인증을 사용하지만, JWT(JSON Web Token) 기반 인증 등 다른 인증 방식으로 구성할 수도 있습니다. 또한 'AuthorizeFilter'는 권한 부여 방식으로 'Role-based', 'Policy-based' 등 다양한 방식을 지원합니다.

'AuthorizeFilter'는 보안에 관련된 중요한 기능이므로 올바르게 구성되어야 합니다. 필요한 경우 'IAuthorizationService'를 사용하여 인증과 권한 부여를 수행할 수 있습니다.

ASP.NET Core에서 'AuthorizeFilter'를 사용하여 인증과 권한 부여를 관리하면 보안적으로 안전한 애플리케이션을 구현할 수 있습니다.

AuthorizeFilter를 사용하여 전역적으로 MVC 또는 Razor Pages에 인증 설정

ASP.NET Core에서 전역적으로 MVC 또는 Razor Pages에 인증된 사용자만 접근하도록 설정하려면, "Startup.cs" 파일의 "ConfigureServices" 메서드에서 "services.AddAuthorization()" 메서드를 호출하여 권한 부여 서비스를 추가하고, "services.AddMvc()" 또는 "services.AddRazorPages()" 메서드 다음에 "services.AddMvc(options => options.Filters.Add(new AuthorizeFilter()));" 또는 "services.AddRazorPages(options => options.Conventions.AuthorizePage("/Index"));" 메서드를 호출하여 "AuthorizeFilter"를 추가하면 됩니다.

public void ConfigureServices(IServiceCollection services)
{
    // ...

    services.AddAuthorization(options =>
    {
        options.DefaultPolicy = new AuthorizationPolicyBuilder()
            .RequireAuthenticatedUser()
            .Build();
    });

    services.AddMvc(options => options.Filters.Add(new AuthorizeFilter()));
    // 또는 services.AddRazorPages(options => options.Conventions.AuthorizePage("/Index"));
}

위 코드에서 "services.AddAuthorization()" 메서드는 권한 부여 서비스를 추가하고, "options.DefaultPolicy" 속성을 사용하여 인증된 사용자만 액세스할 수 있도록 설정합니다.

그리고 "services.AddMvc()" 또는 "services.AddRazorPages()" 메서드 다음에 "services.AddMvc(options => options.Filters.Add(new AuthorizeFilter()));" 또는 "services.AddRazorPages(options => options.Conventions.AuthorizePage("/Index"));" 메서드를 호출하여 "AuthorizeFilter"를 추가합니다. 이렇게 하면 전역적으로 모든 MVC 또는 Razor Pages에 대해 인증된 사용자만 액세스할 수 있게 됩니다.

위 코드에서 "services.AddMvc()" 또는 "services.AddRazorPages()" 메서드를 호출할 때 "options.Filters.Add(new AuthorizeFilter())"를 사용하여 "AuthorizeFilter"를 추가하면, 기본적으로 모든 액션 또는 페이지에 대해 인증이 필요하게 됩니다. 만약 특정 액션 또는 페이지에 대해서만 인증이 필요하다면, 해당 액션 또는 페이지에 대해 "AllowAnonymous" 특성을 사용하여 인증을 해제할 수 있습니다.

[AllowAnonymous]
public IActionResult About()
{
    // ...
}

위 코드에서 "AllowAnonymous" 특성을 사용하여 "About" 액션에 대해 인증을 해제합니다.

더 깊이 공부하고 싶다면
DevLec에서는 실무 중심의 C#, .NET, ASP.NET Core, Blazor, 데이터 액세스 강좌를 단계별로 제공합니다. 현재 수강 가능한 강좌 외에도 더 많은 과정이 준비되어 있습니다.
DevLec.com에서 자세한 커리큘럼을 확인해 보세요.
DevLec 공식 강의
C# Programming
C# 프로그래밍 입문
프로그래밍을 처음 시작하는 입문자를 위한 C# 기본기 완성 과정입니다.
ASP.NET Core 10.0
ASP.NET Core 10.0 시작하기 MVC Fundamentals Part 1 MVC Fundamentals Part 2
웹 애플리케이션의 구조와 MVC 패턴을 ASP.NET Core로 실습하며 익힐 수 있습니다.
Blazor Server
풀스택 웹개발자 과정 Part 1 풀스택 웹개발자 과정 Part 2 풀스택 웹개발자 과정 Part 3
실무에서 바로 활용 가능한 Blazor Server 기반 관리자·포털 프로젝트를 만들어 봅니다.
Data & APIs
Entity Framework Core 시작하기 ADO.NET Fundamentals Blazor Server Fundamentals Minimal APIs
데이터 액세스와 Web API를 함께 이해하면 실무 .NET 백엔드 개발에 큰 도움이 됩니다.
※ 더 많은 강좌가 DevLec.com에 계속 업데이트되고 있습니다. DevLec 메인 페이지에서 최신 .NET 강좌를 확인해 보세요.
VisualAcademy Docs의 모든 콘텐츠, 이미지, 동영상의 저작권은 박용준에게 있습니다. 저작권법에 의해 보호를 받는 저작물이므로 무단 전재와 복제를 금합니다. 사이트의 콘텐츠를 복제하여 블로그, 웹사이트 등에 게시할 수 없습니다. 단, 링크와 SNS 공유, Youtube 동영상 공유는 허용합니다. www.VisualAcademy.com
박용준 강사의 모든 동영상 강의는 데브렉에서 독점으로 제공됩니다. www.devlec.com