---

Chapter 1 : 🔒 인증과 인가

---

📌 Spring에서 인증(Authentication)과 인가(Authorization)는 보안의 핵심 개념으로, 사용자의 신원 확인과 권한 관리를 담당한다.

🔑 인증: 너 누구야?
🔒 인가: 너 이거 할 수 있어?

---

🔑 인증(Authentication)

📌 인증은 사용자가 누구인지 확인하는 과정이다. -> 로그인

• 일반적으로 아이디(ID)와 비밀번호(Password)를 입력하여 본인이 누구인지 증명한다.

• JWT, OAuth2, Session/Cookie 등을 이용해 인증할 수 있다.

✅ Spring에서 인증 방법

• Spring Security: 가장 많이 사용되는 인증 프레임워크

• JWT (JSON Web Token): 토큰 기반 인증 방식

• Session & Cookie: 서버에서 세션을 관리하는 방식

• OAuth 2.0: Google, Facebook 등의 외부 서비스 로그인 연동

✅ Spring Security에서 인증 흐름

1. 사용자가 로그인 요청 (ID, PW)

2. AuthenticationManager가 UserDetailsService를 통해 사용자 정보 조회

3. 비밀번호 검증 후, 성공하면 SecurityContextHolder에 Authentication 객체 저장

4. 인증 성공 시, JWT 토큰 또는 세션을 생성하여 반환

---

🔓 인가(Authorization)

📌 인가(권한 부여)는 특정 사용자가 어떤 작업을 수행할 수 있는지 결정하는 과정이다. -> 권한

• 예를 들어, 일반 사용자는 주문을 할 수 있지만, 가게 사장님은 가게 정보를 수정할 수 있다.

• 즉, 인증된 사용자가 특정 리소스(URI, 메서드, 데이터)에 접근할 수 있는지 확인하는 과정이다.

✅ Spring에서 인가 방법

1. Spring Security의 권한(Role) 기반 인가

• @PreAuthorize("hasRole('ADMIN')") → 특정 역할을 가진 사용자만 접근 허용

• @Secured("ROLE_USER") → 특정 역할을 가진 사용자만 메서드 실행 가능

• @RolesAllowed("ROLE_OWNER") → 지정된 역할이 있어야 접근 가능

2. URL 기반 접근 제어

http
    .authorizeRequests()
    .antMatchers("/admin/**").hasRole("ADMIN")
    .antMatchers("/user/**").hasRole("USER")
    .anyRequest().authenticated();

3. Method 기반 접근 제어

@PreAuthorize("hasRole('OWNER')")
public void updateStoreInfo() { ... }

---

Chapter 2 : 🛡️ JwtFilter

---

📌 JwtFilter는 Spring Security의 Filter 중 하나로, 클라이언트가 보낸 요청에서 JWT(토큰)를 추출하고 검증하는 역할을 한다.

---

🚀 JwtFilter의 역할

🔍 클라이언트 요청에서 JWT 추출

• 요청 헤더(Authorization: Bearer <token>)에서 JWT를 가져옴.

🔑 JWT 검증 및 파싱

• 서명(Signature) 검증, 만료 시간 확인, 토큰 내부의 사용자 정보 파싱.

👤 유저 정보를 SecurityContext에 저장

• 검증이 완료되면 해당 사용자의 인증 객체를 SecurityContextHolder에 등록.

---

📜 Filter에서 JWT 유저 데이터 추출

✅ JWT에서 추출 가능한 정보

• User ID

• Email

• Role

• 기타 사용자 정보 (필요 시 추가 가능)

String token = request.getHeader("Authorization").substring(7); // "Bearer " 제거
Claims claims = jwtUtil.parseToken(token);
String userId = claims.getSubject();
String role = claims.get("role", String.class);

---

📤 Filter에서 유저 데이터를 ArgumentResolver로 전달하는 방법

🚀 문제:

JwtFilter에서 JWT 정보를 추출했지만, 컨트롤러에서 편리하게 사용하려면?

✅ 해결책:

📝 Request Attribute 사용

🧵 ThreadLocal 사용

✨ Custom ArgumentResolver 사용

---

🔄 ArgumentResolver를 활용한 유저 데이터 전달

📌 컨트롤러에서 @LoginUser 같은 어노테이션을 붙여 바로 유저 정보를 받도록 처리 가능!

✅ 유저 정보를 저장하는 DTO

@Getter
@AllArgsConstructor
public class LoginUser {
    private Long id;
    private String email;
    private String role;
}

✅ JwtFilter에서 Request에 유저 정보 저장

LoginUser loginUser = new LoginUser(userId, email, role);
request.setAttribute("loginUser", loginUser); // Request에 저장

✅ ArgumentResolver 구현

@Component
public class LoginUserArgumentResolver implements HandlerMethodArgumentResolver {

    @Override
    public boolean supportsParameter(MethodParameter parameter) {
        return parameter.getParameterType().equals(LoginUser.class);
    }

    @Override
    public Object resolveArgument(MethodParameter parameter, ModelAndViewContainer mavContainer,
                                  NativeWebRequest webRequest, WebDataBinderFactory binderFactory) {
        return webRequest.getAttribute("loginUser", RequestAttributes.SCOPE_REQUEST);
    }
}

✅ 컨트롤러에서 사용 예시

@RestController
@RequestMapping("/api")
public class UserController {

    @GetMapping("/profile")
    public ResponseEntity<?> getUserProfile(@LoginUser LoginUser loginUser) {
        return ResponseEntity.ok("Hello, " + loginUser.getEmail());
    }
}

---

📝 정리

✅ JwtFilter 흐름 정리

1️⃣ JwtFilter가 존재해야 한다.

2️⃣ Filter의 Authorization 헤더에서 JWT 추출 및 검증

• 🔑 JWT 유효성 검사 (서명 확인, 만료 시간 체크 등)

• 👤 JWT에서 유저 데이터 추출 (ID, Email, Role 등)

3️⃣ 필터에서 추출한 유저 데이터를 controller에 전달하기 위해 ArgumentResolver로 전달

• 🚨 이 데이터를 ArgumentResolver(혹은 다른 Filter)로 전달할 방법 필요

4️⃣ 유저 정보를 Request Attribute에 저장

5️⃣ ArgumentResolver에서 Request Attribute의 데이터를 controller에 전달

6️⃣ controller에서 @LoginUser를 사용해 간편하게 유저 정보 접근 가능

💡 JwtFilter 장점

• 컨트롤러가 JwtFilter의 구현 방식에 의존하지 않음

• 테스트 및 유지보수가 쉬움

• @LoginUser 같은 어노테이션을 통해 코드가 간결해짐