1. 실행 흐름
-
사용자가 로그인 정보와 함께 인증 요청을 한다(Http Request).
-
AuthenticationFilter가 요청을 가로채고, 가로챈 정보를 통해 UsernamePasswordAuthenticationToken(인증용 객체)를 생성한다.
-
AuthenticationManager의 구현체인 ProviderManager에게 생성한 UsernamePasswordToken 객체를 전달한다. (ProviderManager를 통해 인증을 진행한다.)
-
AuthenticationManager는 등록된 AuthenticationProvider들을 조회하여 인증을 요구한다.
-
AuthenticationProvider는 DB에 담긴 사용자 정보와 비교하기 위해 UserDetailService에게 사용자 정보를 넘겨준다.
-
UserDetailServices는 DB에서 사용자 정보를 찾아 UserDetails 객체를 만들어 반환한다.
-
AuthenticationProvider는 넘겨받은 UserDetails 객체와 사용자 정보를 비교한다.
-
인증이 완료되면 사용자 정보와 권한 등을 담은 Authentication 객체가 반환된다.
-
AuthenticationFilter까지 Authentication 객체가 반환된다.
-
AuthenticationFilter는 Authentication 객체를 SecurityContext에 저장한다.
2. 주요 모듈
2.1. Authentication
현재 접근하는 주체의 정보와 권한을 담는 인터페이스이다.
Authentication 객체는 SecurityContext에 저장된다. SecurityContextHolder를 통해 SecurityContext에 접근할 수 있고, SecurityContext를 통해 Authentication에 접근할 수 있다.
public interface Authentication extends Principal, Serializable {
// 현재 사용자의 권한 목록을 가져옴
Collection<? extends GrantedAuthority> getAuthorities();
// credentials(주로 비밀번호)을 가져옴
Object getCredentials();
Object getDetails();
// Principal 객체를 가져옴
Object getPrincipal();
// 인증 여부를 가져옴
boolean isAuthenticated();
// 인증 여부를 설정함
void setAuthenticated(boolean isAuthenticated) throws IllegalArgumentException;
}2.2. UsernamePasswordAuthenticationToken
UsernamePasswordAuthenticationToken은 Authentication을 implements한 AbstractAuthenticationToken의 하위 클래스로, 주로 User의 ID가 Principal 역할을 하고, Password가 Credential 역할을 한다.
UsernamePasswordAuthenticationToken의 첫 번째 생성자는 인증 전의 객체를 생성하고, 두번째는 인증이 완료된 객체를 생성한다.
public abstract class AbstractAuthenticationToken implements Authentication, CredentialsContainer {
}
public class UsernamePasswordAuthenticationToken extends AbstractAuthenticationToken {
private static final long serialVersionUID = SpringSecurityCoreVersion.SERIAL_VERSION_UID;
// 주로 사용자의 ID에 해당
private final Object principal;
// 주로 사용자의 PW에 해당
private Object credentials;
// 인증 완료 전의 객체 생성
public UsernamePasswordAuthenticationToken(Object principal, Object credentials) {
super(null);
this.principal = principal;
this.credentials = credentials;
setAuthenticated(false);
}
// 인증 완료 후의 객체 생성
public UsernamePasswordAuthenticationToken(Object principal, Object credentials,
Collection<? extends GrantedAuthority> authorities) {
super(authorities);
this.principal = principal;
this.credentials = credentials;
super.setAuthenticated(true);
}
}2.3. AuthenticationManager
인증에 대한 부분은 AuthenticationManager를 통해서 처리하게 되는데, 실질적으로는 AuthenticationManager에 등록된 AuthenticationProvider에 의해서 처리된다.
public interface AuthenticationManager {
Authentication authenticate(Authentication authentication) throws AuthenticationException;
}2.4. ProviderManager
AuthenticationManager를 implements한 ProviderManager는 AuthenticationManager를 구성하는 목록을 갖는다.
public class ProviderManager implements AuthenticationManager, MessageSourceAware, InitializingBean {
public List<AuthenticationProvider> getProviders() {
return this.providers;
}
public Authentication authenticate(Authentication authentication) throws AuthenticationException {
Class<? extends Authentication> toTest = authentication.getClass();
AuthenticationException lastException = null;
AuthenticationException parentException = null;
Authentication result = null;
Authentication parentResult = null;
int currentPosition = 0;
int size = this.providers.size();
// for문으로 모든 provider를 순회하여 처리하고 result가 나올때까지 반복한다.
for (AuthenticationProvider provider : getProviders()) { ... }
}
}2.5. AuthenticationProvider
AuthenticationProvider에서는 실제 인증에 대한 부분을 처리한다. 인증 전의 Authentication 객체를 받아서 인증이 완료된 Authentication 객체를 반환하는 역할을 한다. AuthenticationProvider 인터페이스를 구현해 커스텀한 AuthenticationProvider를 작성하고 AuthenticationManager에 등록하면 된다.
public interface AuthenticationProvider {
Authentication authenticate(Authentication authentication) throws AuthenticationException;
boolean supports(Class<?> authentication);
}2.6. UserDetailsService
Spring Security에서 사용자의 정보를 가져오는 인터페이스이다. Spring Security에서 사용자의 정보를 불러오기 위해 구현해야 하는 인터페이스이다.
UserDetailsService는 UserDetails 객체를 반환하는 하나의 메소드만 가지고 있다. 일반적으로 UserDetailsService 인터페이스를 implements한 클래스에 UserRepository를 주입받아 DB와 연결하여 사용자의 정보를 불러와서 UserDetails 객체로 반환한다.
public interface UserDetailsService {
UserDetails loadUserByUsername(String username) throws UsernameNotFoundException;
}2.7. UserDetailsManager
UserDetailsService 인터페이스는 사용자 정보를 가져오는 read-only인 loadUserByUsername 메서드 하나만 가지고 있다. 따라서 사용자 정보를 저장하고 수정하는 인터페이스는 UserDetailsManager이다.
UserDetailsManager는 UserDetailsService를 상속하기 때문에 사용자에 대해서 좀 더 다양한 역할을 수행할 수 있다.
public interface UserDetailsManager extends UserDetailsService {
// 사용자 생성
void createUser(UserDetails user);
// 사용자 수정
void updateUser(UserDetails user);
// 사용자 삭제
void deleteUser(String username);
// 사용자의 패스워드 변경
void changePassword(String oldPassword, String newPassword);
// username으로 사용자가 존재하는지 검사
boolean userExists(String username);
}2.8. UserDetails
Spring Security에서 사용자의 정보를 담는 인터페이스이다. Spring Security에서 사용자의 정보를 불러오기 위해 구현해야 하는 인터페이스이다.
public interface UserDetails extends Serializable {
// 계정의 권한 목록
Collection<? extends GrantedAuthority> getAuthorities();
// 계정의 비밀번호
String getPassword();
// 계정의 고유한 값
String getUsername();
// 계정 만료 여부
boolean isAccountNonExpired();
// 계정 잠김 여부
boolean isAccountNonLocked();
// 비밀번호 만료 여부
boolean isCredentialsNonExpired();
// 사용자 활성화 여부
boolean isEnabled();
}CustomUserDetails 구현
대부분의 경우 Spring Security의 기본 UserDetails로는 실무에서 필요한 모든 정보를 담을 수 없다. 따라서 CustomUserDeatails를 구현하여 사용한다.
2.9. SecurityContextHolder
SecurityContextHolder에는 보안 주체의 세부 정보를 포함하여 응용프로그램의 현재 보안 컨텍스트에 대한 세부 정보가 저장된다.
2.10. SecurityContext
SecurityContext는 Authentication을 보관하는 역할을 하며, 이를 통해 Authentication을 저장하거나 꺼내올 수 있다.
2.11. GrantedAuthority
GrantedAuthority는 현재 사용자(Principal)가 가지고 있는 권한을 의미하며, ROLE_ADMIN이나 ROLE_USER와 같이 ROLE\_* 형태로 사용한다. GrantedAuthority 객체는 UserDetailsService에 의해 불러올 수 있고, 특정 자원에 대한 권한이 있는지를 검사하여 접근 허용 여부를 결정한다.
Reference
https://dev-coco.tistory.com/174
https://frogand.tistory.com/188
