[Spring Security] Authentication(인증)

 

시큐리티 기본 키워드

 

Filter 기반 동작 (필터체인)

모든 요청은 필터를 거치게 된다.

 

접근 주체(Principal) : 보호된 대상에 접근하는 주체(유저) 

인증(Authentication) : 증명, 유저가 누구인지 확인하는 것, 통상 회원가입하고 로그인하는 것을 말한다. 

권한(Role) : 로그인 된 사람 + role (권한) 이 있는 사람

인가(Authorization) : 허락, 유저에 대한 권한을 확인, 허락하는 것

 

 

 

로그인 인증 처리 과정

 

 

1.  User 가 로그인 정보 + 인증 요청을 한다 (Http Request) 

2. 모든 요청은 `AuthenticationFilter` 를 거치게 된다. (모든 요청 가로채기)

3.  `UsernamePasswordAuthenticationToken`(시큐리티세션이 쓰는 인증토큰) 이 객체 `Authentication`를 생성한다.

4.  ` AuthenticationManager` 가 요청을 적절한 ` AuthenticationProvider` 로 전달

5. ` AuthenticationProvider ` 에서 인증을 처리하는데 ! 

6. ` UserDetailsService` 가 정보를 받고 DB에서 찾은 정보로 `UserDetails` 객체를 만들고 반환

7. `AuthenticationProvider` 가 `UserDetails` 를 받고 사용자 정보를 비교한 후 인증 처리 후 ` Authentication` 반환

(` Authentication`  가 존재하면 인증이 되어있는 상태인 것이다)

8.` Authentication` 를 `SecurityContext` 에 저장한다  

 

 

Authentication

인증 정보를 나타내는 인터페이스. - 인증 authentication  주요 메서드  getPrincipal(): 인증 주체 (사용자 이름 또는 사용자 객체). getCredentials(): 사용자 인증 정보 (예: 비밀번호). getAuthorities(): 인증된 사용자의 권한 목록. isAuthenticated(): 인증 여부 확인.

 

AuthenticationManager

인증 요청을 처리하는 핵심 컴포넌트.

 

AuthenticationProvider

실제 인증 로직을 처리하는 인터페이스.

 

UserDetailsService

사용자 정보를 로드하기 위한 서비스 인터페이스.

 

SecurityContextHolder

인증 정보를 저장 및 조회. SecurityContextHolder : 스프링 시큐리티의 인메모리 세션 저장소

 

SecurityContext

시큐리티 세션 현재 사용자와 관련된 인증 정보(Authentication)를 보관.

 

 

 

시큐리티 세션 구조

• 시큐리티는 자신만의 특별한 세션객체를 가집니다. (Security Session객체)
• 시큐리티 세션객체에는 특별한 객체타입만 저장됩니다 (Authentication객체)
• Authentication객체 안에는 특별한 객체타입만 저장됩니다 (UserDetails객체)

 

new 시큐리티세션(new 인증객체(new 유저객체)))
new SecurityContextHolder( new Authentication( new UserDetails() ) )

 

 

 

 

 

 

 

 

ContextHolder 내부 구조 

 

 

1) SecurityContextHolder : SecurityContextHolder는 SecurityContext를 제공하는 static 메소드(getContext)를 지원한다. 

2) SecurityContext : SecurityContext 는 접근 주체와 인증에 대한 정보를 담고 있는 Context 이다. 즉, Authentication 을 담고 있습니다. (시큐리티 세션)

3) Authentication : Principal과 GrantAuthority를 제공합니다. 인증이 이루어 지면 해당 Athentication이 저장됩니다 

4) Principal : 유저에 해당하는 정보입니다. 대부분의 경우 Principal로 UserDetails를 반환합니다 

5) GrantAuthority  : ROLE_ADMIN, ROLE_USER 등 Principal이 가지고 있는 권한을 나타냅니다.

 

 

 

 

로그인 동작 방식 

 

> 로그인 시도 http request path : `/login` , http Method `POST`

> `AuthenticationFilter` - `DB` 까지 (이 부분이 위에서 설명한 로그인 인증 처리 과정)

> DB 에 존재하면 `UserDetails()` 값을 꺼내서 Session 생성

> `SecurityContextHolder` 에 `Authentication (인증객체)` 저장

> user 에게 `session ID (JSESSIONID) ` 응답

> 이후 요청 쿠키에서 JSESSIONID 로 검증 후 유효하면 Authentication(인증객체) 을 요청으로도 보내줄 수 있음

 

 

 

 

 

 

세션-쿠키 방식 

 

 

spring security는 세션-쿠키 방식으로 인증함

 

 

• 사용자가 로그인 폼을 제출하면, Spring Security는 사용자의 자격 증명을 확인하고, 인증이 성공하면 세션을 생성하고 사용자의 정보를 세션에 저장합니다.
• 세션 ID가 포함된 쿠키(JSESSIONID)가 사용자의 브라우저에 생성되어 클라이언트 측에 저장됩니다.
• 클라이언트가 후속 요청을 서버로 보낼 때마다, 브라우저는 JSESSIONID 쿠키를 서버로 전송하여 서버가 해당 요청이 인증된 사용자에 의해 이루어진 것인지 확인할 수 있습니다.
• 사용자가 로그아웃하거나 세션이 만료되면, 서버 측에서 세션이 삭제되고 클라이언트의 쿠키도 제거됩니다.

 

 

 

 

 

 

 

 

 

출처 : 

https://velog.io/@mooh2jj/Security-%EC%9D%B8%EC%A6%9D%EC%9D%B8%EA%B0%80%EC%B2%98%EB%A6%AC