[Spring Security] docs: Authentication Architecture (1) - SecurityContextHolder, SecurityContext, Authentication

🔻 Spring Security docs  게시글 목차  

1. [Spring Security] docs : Getting Started

[Spring Security] docs : Getting Started

 

2. [Spring Security] docs : Architecture (1) - Filter

[Spring Security] docs : Architecture (1) - Filter

 

3. [Spring Security] docs: Architecture (2) - DelegatingFilterProxy

[Spring Security] docs: Architecture (2) - DelegatingFilterProxy

 

4. [Spring Security] docs: Architecture (3) - FilterChainProxy & SecurityFilterChain

[Spring Security] docs: Architecture (3) - FilterChainProxy & SecurityFilterChain

 

5. 2024.08.30 - [Spring Boot] - [Spring Security] docs : Architecture(4) : FilterChain의 역할과 순서, 커스텀 필터

[Spring Security] docs : Architecture(4) : FilterChain의 역할과 순서, 커스텀 필터

 

6. 2024.08.30 - [Spring Boot] - [Spring Security] docs: Architecture(5) - ExceptionTranslationFilter, RequestCache, logging

[Spring Security] docs: Architecture(5) - ExceptionTranslationFilter, RequestCache, logging

 

 

 

 

🌱 Spring Security docs 바로가기

Servlet Authentication Architecture :: Spring Security

 

 

 

 

🔍 Servlet Authentication Architecture의 키워드 알아보기

1. SecurityContextHolder: Spring Security가 인증된 `SecurityContextHolder`에 대한 세부 정보를 저장하는 곳이다. 
2. SecurityContext: `SecurityContextHolder`에서 얻을 수 있으며, 현재 인증된 사용자의 `Authentication` 정보를 포함한다. 
3. Authentication: `AuthenticationManager`에 사용자 자격 증명(credential)을 제공하여 인증을 수행하고, `SecurityContext`에서 현재 사용자를 나타낼 수 있다. 
4. GrantedAuthority: `Authentication`의 주체(principal)에게 부여된 권한(ex. 역할, 범위 등)을 나타낸다. 
5. AuthenticationManager: Spring Security의 필터가 인증을 수행하는 방식을 정의하는 API이다. 
6. ProviderManager: `AuthenticationManager`의 가장 일반적인 구현체이다.
7. AuthenticationProvider: `ProviderManager`가 특정 유형의 인증을 수행하기 위해 사용하는 구성 요소이다.
8. Request Credentials with `AuthenticationEntryPoint`: 클라이언트로부터 자격 증명을 요청하는 데 사용된다. (ex. 로그인 페이지로 리다이렉션하거나, `WWW-Authenticate` 응답을 보내는 작업 등)
9. AbstractAuthenticationProcessingFilter: 인증을 위한 `Filter`이다. 인증의 고수준 흐름과 여러 구성요소들이 어떻게 함께 작동하는지 보여준다. 

 

 

 

 

 

---

 

 

 

1. SecurityContextHolder

`SecurityContextHolder`는 인증된 사용자에 대한 정보를 저장하는 핵심적인 역할을한다. 

현재 인증된 사용자의 인증 정보를 보관하는 `SecurityContext`를 포함하고 있다. 

 

 

1-1. SecurityContextHolder의 역할

`SecurityContextHolder`는 Spring Security에서 누가 인증되었는지에 대한 세부 정보를 저장하는 보관소 역할을 한다. 

Spring Security는 `SecurityContextHolder`가 어떻게 채워지는가는 관계없이, `SecurityContextHolder`에 값이 포함되어있다면, 무조건 현재 인증된 사용자로 간주한다. 

 

 

 

1-2. `SecurityContextHolder`에 사용자 인증 설정하기

가장 간편한 방법은 `SecurityContextHolder`를 직접 설정하는 것이다. 

SecurityContext context = SecurityContextHolder.createEmptyContext(); 
Authentication authentication = new TestingAuthenticationToken("username", "password", "ROLE_USER"); 
context.setAuthentication(authentication);
SecurityContextHolder.setContext(context);

 

• 새로운 `SecurityContext`생성: 새로운 `SecurityContext` 인스턴스를 생성함으로써 여러 스레드에서의 경합 조건을 피할 수 있다. 기존의 `SecurityContextHolder.getContext().setAuthentication(authentication)` 방식 대신 새 인스턴스를 생성하는 것이 좋다. 
• 새로운 `Authentication` 객체 생성: 인증을 나타내는 객체를 생성한다. Spring Security는 `SecurityContext`에 설정된 `Authentication`의 구체적인 구현 타입에는 신경쓰지 않는다. 여기에서는 간단한 `TestingAuthenticationToken`을 사용했지만, 실제 환경에서는 `UsernamePasswordAuthenticationToken(userDetails, password, authorities)`을 더 자주 사용한다. 
• `SecurityContext` 설정: 생성한 `SecurityContext`를 `SecurityContextHolder`에 설정한다. 이 정보는 Spring Security가 권한 부여를 처리하는 데 사용된다. 

 

 

 

1-3. 현재 인증된 사용자 정보 접근하기

현재 인증된 사용자에 대한 정보를 얻으려면 `SecurityContextHolder`를 사용해야 한다. 

SecurityContext context = SecurityContextHolder.getContext();
Authentication authentication = context.getAuthentication();
String username = authentication.getName(); // 사용자 이름
Object principal = authentication.getPrincipal(); // 인증된 주체 (principal)
Collection<? extends GrantedAuthority> authorities = authentication.getAuthorities(); // 사용자의 권한 목록

 

• `SecurityContextHolder.getContext()`를 통해 `SecurityContext`를 가져온다. 
• `getAuthentication()`을 호출하여 현재 인증된 사용자의 `Authentication` 객체를 가져온다. 
• `authentication.get ~` 으로 사용자 이름, 인증된 주체, 권한 목록을 가져온다. 

 

 

1-4. SecurityContextHolder의 저장 전략

기본적으로 `SecurityContextHolder`는 `ThreadLocal`을 사용하여 인증 정보를 저장한다. 이는 같은 스레드 내에서는 `SecurityContext`가 항상 사용 가능하다는 의미이다. `ThreadLocal` 방식은 현재 요청이 처리된 후 스레드를 정리할 경우 안전하게 사용될 수 있다. `FilterChainProxy`는 항상` SecurityContext`가 정리되도록 보장해주기 때문이다. 일부 애플리케이셔는 이러한 `ThreadLocal` 방식이 적합하지 않을 수 있으나, 대부분의 경우 기본값을 변경할 필요가 없다. 

 

 

 

---

 

 

 

 

2. SecurityContext

`SecurityContextHolder`에서 얻을 수 있으며, 현재 인증된 사용자의 `Authentication` 정보를 포함한다. 

 

 

 

---

 

 

3. Authentication

 

 

Authentication 인터페이스는 Spring Security에서 두 가지 핵심 목적을 제공한다. 

1️⃣ 인증 관리자(AuthenticationManager)의 input 역할

사용자가 제공한 자격 증명(ex. 사용자 이름, 비밀번호)을 인증하기 위해 `AuthenticationManager`에 입력값으로 사용된다. 

이 경우(아직 인증되지 않은 상태이기 때문에), `isAuthenticated()` 메서드는 `false`를 반환한다. 

 

2️⃣ 현재 인증된 사용자 정보 표현

현재 인증된 사용자를 나타내며, `SecurityContext`에서 현재의 `Authentication` 객체를 가져올 수 있다. 

 

 

 

Authentication 객체의 구성 요소

﹒principal (주체) : 사용자의 식별하는 값이다. 사용자 이름과 비밀번호로 인증할 때, 주로 `UserDetails`의 인스턴스가 사용된다. 
﹒credentials (자격 증명) : 주로 비밀번호가 사용된다. 대부분 사용자가 인증되면 이 정보는 유출 방지를 위해 삭제된다. 
﹒authorities (권한) : 사용자가 부여받은 고수준의 권한을 나타내는 `GrantedAuthority` 인스턴스들이다. 예를 들어 역할(roles)와 범위(scopes)가 있다.