기본적으로 인증 인가를 담당하는 프레임 워크이다.
인증 (Authenticate, 누구인지) 인가 (Authorize, 어떤것을 할 수 있는지?)를 담당해준다.
그럼 우리가 Spring Security안에서 자주 확인하는 단어들을 확인해보자.
- Principal (접근 주체) : 보호된 리소스에 접근하는 대상
- Authentication (인증) : 보호된 리소스에 접근한 대상에 대해 누구인지, 애플리케이션의 작업을 수행해도 되는지 확인
- Authorize (인가) : 해당 리소스에 대한 접근 권한을 가지고 있는지 확인
- 권한 : 접근 제한, 모든 리소스는 접근 제한이 존재한다. 이 과정에서 해당 리소스에 대한 제한된 최소 권한을 가졌는지 확인
인증관리자 (Authentication Manager)와 접근 결정 관리자 (Access Decision Manager)를 통해 사용자의 리소스 접근 관리
인증 관리자 (Authentication Manager)는 UsernamePasswordAthenticationFilter
접근 결정 관리자(Access Decision Manager)는 FilterSecurityInterceptor
SecurityContextPersistenceFilter | SecurityContextRepository에서 SecurityContext를 로드하고 저장하는 일을 담당함 |
LogoutFilter | 로그아웃 URL로 지정된 가상URL에 대한 요청을 감시하고 매칭되는 요청이 있으면 사용자를 로그아웃시킴 |
UsernamePasswordAuthenticationFilter | 사용자명과 비밀번호로 이뤄진 폼기반 인증에 사용하는 가상 URL요청을 감시하고 요청이 있으면 사용자의 인증을 진행함 |
DefaultLoginPageGeneratingFilter | 폼기반 또는 OpenID 기반 인증에 사용하는 가상URL에 대한 요청을 감시하고 로그인 폼 기능을 수행하는데 필요한 HTML을 생성함 |
BasicAuthenticationFilter | HTTP 기본 인증 헤더를 감시하고 이를 처리함 |
RequestCacheAwareFilter | 로그인 성공 이후 인증 요청에 의해 가로채어진 사용자의 원래 요청을 재구성하는데 사용됨 SecurityContextHolderAwareRequestFilter HttpServletRequest를 HttpServletRequestWrapper를 상속하는 하위 클래스(SecurityContextHolderAwareRequestWrapper)로 감싸서 필터 체인상 하단에 위치한 요청 프로세서에 추가 컨텍스트를 제공함 |
AnonymousAuthenticationFilter | 이 필터가 호출되는 시점까지 사용자가 아직 인증을 받지 못했다면 요청 관련 인증 토큰에서 사용자가 익명 사용자로 나타나게 됨 |
SessionManagementFilter | 인증된 주체를 바탕으로 세션 트래킹을 처리해 단일 주체와 관련한 모든 세션들이 트래킹되도록 도움 |
ExceptionTranslationFilter | 이 필터는 보호된 요청을 처리하는 동안 발생할 수 있는 기대한 예외의 기본 라우팅과 위임을 처리함 |
FilterSecurityInterceptor | 이 필터는 권한부여와 관련한 결정을 AccessDecisionManager에게 위임해 권한부여 결정 및 접근 제어 결정을 쉽게 만들어 줌 |
'개발 > Spring' 카테고리의 다른 글
SecurityFilterChain을 작성해보자 (0) | 2023.01.02 |
---|---|
Spring Security 구성과 흐름 (0) | 2023.01.02 |
Spring Security - Filter, OncePerRequestFilter 정리해보자 (0) | 2022.12.30 |
Spring Boot + JPA + H2 (0) | 2022.12.26 |
HttpSecurity 설정 정리 (0) | 2022.12.20 |