🔐 Spring Security 인증 필터 흐름 정리

✅ Spring Security 인증 구조 요약

스프링 시큐리티는 필터 기반으로 작동하며, 인증/인가 과정을 체계적으로 분리하여 처리함.
FilterChain → AuthenticationFilter → AuthenticationManager → Provider 흐름으로 구성됨.

---

🔁 전체 인증 흐름 순서

1. 클라이언트 요청

• 로그인 시: /login, 또는 사용자 지정 엔드포인트
• 일반 요청 시: /api/** 등

2. Security Filter Chain

• 요청이 들어오면 FilterChainProxy에서 등록된 시큐리티 필터 체인을 거침

3. 주요 필터 구성

필터	역할
UsernamePasswordAuthenticationFilter	로그인 시 ID/PW 기반 인증 수행
OncePerRequestFilter (JWT 커스텀 필터)	매 요청마다 JWT 토큰 파싱 및 사용자 인증 처리
ExceptionTranslationFilter	인증/인가 실패 예외 처리
FilterSecurityInterceptor	권한(인가) 검사 수행

---

🧩 JWT 사용 시 흐름 (커스텀 인증 필터 포함)

클라이언트 → 요청
        ↓
SecurityFilterChain (여러 필터들)
        ↓
✅ JwtAuthenticationFilter (OncePerRequestFilter 상속)
        ↓
JWT 검증 & 사용자 정보 추출
        ↓
SecurityContextHolder.setAuthentication(...)
        ↓
인증 성공 → 다음 필터로 전달

---

🔒 인증 후 흐름

• Authentication 객체가 SecurityContextHolder에 저장됨
• 이후 컨트롤러/서비스에서 @AuthenticationPrincipal, SecurityContextHolder.getContext().getAuthentication() 등으로 접근 가능

---

📦 주요 클래스 요약

구성 요소	설명
Authentication	인증 정보 객체 (id, role, credentials 등 포함)
UserDetails	사용자 상세 정보 (CustomUserDetails로 구현)
AuthenticationProvider	인증 처리 로직 구현체 (e.g. JWT, DB 조회 기반 등)
SecurityContextHolder	인증된 사용자를 요청 스레드 내에 저장하는 컨텍스트

---

🧠 면접용 정리 멘트

“Spring Security는 필터 기반 구조로 요청이 들어오면 먼저 여러 보안 필터를 거칩니다.
JWT를 사용하는 경우 OncePerRequestFilter를 상속한 커스텀 필터에서 토큰을 검증하고,
인증 정보를 SecurityContextHolder에 저장하여 이후 인가 처리까지 연동되도록 구성합니다.”