𝐒𝐩𝐫𝐢𝐧𝐠 𝐒𝐞𝐜𝐮𝐫𝐢𝐭𝐲

𝐃𝐚𝐬𝐡𝐁𝐨𝐚𝐫𝐝
/
𝐒𝐩𝐫𝐢𝐧𝐠 𝐒𝐞𝐜𝐮𝐫𝐢𝐭𝐲
Search
Share
𝐒𝐩𝐫𝐢𝐧𝐠 𝐒𝐞𝐜𝐮𝐫𝐢𝐭𝐲
왜 시큐리티 인가?
스프링 시큐리티는 스프링 기반 애플리케이션의 보안을 담당하는 프레임 워크입니다. 인증 과 권한 에 대한 부분을 Filter 의 흐름에 따라 처리하며, 보안과 관련해서 체계적으로 많은 옵션을 제공해주기 때문에 사용합니다.
Authentication 과 Authorization
•
인증(Authentication)
해당 사용자가 본인이 맞는지 확인하는 절차
•
인가(Authorization)
◦
인증된 사용자가 요청한 리소스에 접근 가능한지 결정하는 절차
•
때문에 시큐리티는 기본적으로 인증 절차를 거친 후에 인가 절차를 진행하게 됩니다. 이때 Principal 과 Credential 을 사용하는 Credential 기반의 인증 방식을 사용합니다.
◦
Principal : 아이디로 사용되며, 보호 받는 리소스에 접근하는 대상
◦
Credential : 리소스에 접근하는 대상의 비밀번호
필터
필터는 체인처럼 엮여있기 때문에 필터 체인이라고도 불립니다. 모든 요청은 이 필터체인을 반드시 거쳐야 합니다. 때문에 spring MVC 와 분리되어 관리되고, 동작합니다.
세션과 쿠키
시큐리티는 세션-쿠키 방식으로 인증합니다. 흐름은 아래와 같습니다.
•
유저의 로그인 시도 (http request)
•
AuthenticationFilter 에서 userDB 에 접근
•
UserDetails 를 이용하여 유저의 session 생성 (DB 에 있는 유저인 경우)
•
SecurityContextHolder 에 저장
•
유저에게 session ID 를 포함하여 응답처리
•
이후 요청에서는 요청 쿠키에서 세션 검증 후 유효하면 Authentication 완료
로그인 인증처리 과정 Architecture
공식문서가 말하는 각각의 역할
Servlet Authentication Architecture :: Spring Security
https://docs.spring.io/spring-security/reference/servlet/authentication/architecture.html
DaoAuthenticationProvider 의 동작방식
•
이번에 프로젝트를 진행하면서 DaoAuthenticationProvider 를 이용한 로그인 처리를 구현하기 위해 정리해보았습니다.
DaoAuthenticationProvider 와 JSON 형식의 데이터를 이용한 로그인 기능 구현 일대기😎
참고한 사이트