Spring Security 사용시 h2 웹 콘솔 접근하는 방법

 

스프링부트 프로젝트에서 h2 database의 웹 콘솔을 활성화하려면
application.properties에 아래 설정을 추가해주면 된다. ( 📑 스프링부트-h2-database-h2-console-설정)

spring.h2.console.enabled=true

 

스프링부트 프로젝트에 Spring Security 의존성이 추가되어 있으면,
h2 웹 콘솔에 접속하여도 아래 사진처럼 "localhost에서 연결을 거부했습니다" 라는 오류가 발생한다.

 

 

📌 해결법

SecurityFilterChain에 아래 설정들을 추가해주면 된다.

http
    .csrf(csrf -> csrf.disable()) // 1. csrf 설정 disable
    .headers(header-> header.frameOptions(HeadersConfigurer.FrameOptionsConfig::disable)) // 2. X-Frame-Options 헤더 제거
    .authorizeHttpRequests(auth -> auth
                        .requestMatchers("/h2-console/**") // 3. h2-console 경로는 인증 없이 접근 가능하도록 설정
                        .permitAll()
                ...

 

(물론 3번은 생략 가능하긴 한데 나는 저렇게 했다 😃)

 

 

**

H2 콘솔(http://localhost:8080/h2-console)은 내부적으로 <iframe>을 사용하여 UI를 표시한다고 한다.
그러나 Spring Security가 기본적으로 X-Frame-Options: DENY 헤더를 추가하는 설정이 있어서 H2 콘솔이 정상적으로 로드되지 않는다고 한다.

그래서 시큐리티 필터 체인에 .frameOptions().disable()을 적용하면, X-Frame-Options 헤더가 제거되어서 <iframe> 태그가 사용 가능해진다고 한다.

 

이 부분에 대해서는 좀 더 공부해봐야함