🔒[Spring Security] LazyInitializationException + 인증 객체 구조 개선

💥 문제 상황 요약

인증 시점에 User 엔티티 전체를 CustomUserDetails에 담고
이후 컨트롤러나 서비스에서 user.getRoles()처럼 연관 필드에 접근할 경우 다음 오류 발생:

LazyInitializationException: could not initialize proxy – no Session

---

🧨 근본 원인

• Hibernate의 지연 로딩(LAZY)은 영속성 컨텍스트(session)가 열려 있어야 프록시를 초기화 가능
• 인증 이후에는 트랜잭션이나 세션 밖에서 User 객체의 연관 필드에 접근하게 됨

---

🕳️ 추가 문제 - 세션 만료 시

• Spring Security의 Authentication 객체는 세션 기반으로 유지됨
• 인증 객체가 User 엔티티 전체를 들고 있다면, 세션 만료 이후 해당 객체는 무효화됨
• 이때 user.getUserRoles() 등 호출 시 LAZY 초기화 실패 + 세션/캐시 오류 동시 발생 가능

---

✅ 해결 전략

• 인증 객체에 엔티티(User)를 직접 담지 않고, 필요한 필드만 따로 저장 (email, id 등)
• 서비스 계층에서 DB를 통해 다시 fetch하여 사용 (필요할 때만, 정확하게)

---

✅ 예시 코드

CustomUserDetails 개선

public class CustomUserDetails implements UserDetails {
    private final String email;
    private final String nickname;

    public CustomUserDetails(String email, String nickname) {
        this.email = email;
        this.nickname = nickname;
    }

    public String getEmail() {
        return email;
    }

    @Override
    public Collection<? extends GrantedAuthority> getAuthorities() {
        return List.of(); // 별도 설정 가능
    }

    // 생략: getPassword(), isEnabled() 등
}

인증 시점: 최소 정보만 저장

@Override
public UserDetails loadUserByUsername(String email) {
    User user = userRepository.findByEmail(email)
        .orElseThrow(() -> new UsernameNotFoundException("유저 없음"));

    return new CustomUserDetails(user.getEmail(), user.getNickname());
}

실제 접근 시: DB에서 다시 조회

@Transactional(readOnly = true)
public User getCurrentUser() {
    Authentication auth = SecurityContextHolder.getContext().getAuthentication();
    String email = ((CustomUserDetails) auth.getPrincipal()).getEmail();

    return userRepository.findWithRolesByEmail(email)
        .orElseThrow(() -> new IllegalStateException("유저 정보 없음"));
}

---

🧠 결론

잘못된 방식	올바른 방식
인증 객체에 User 엔티티 전체 보관	인증 객체에는 최소 정보만 보관
이후 서비스 계층에서 LAZY 오류 발생	필요한 시점에 DB에서 다시 fetch
세션 만료 시 프록시/세션 예외 발생	인증 객체는 안전하게 유지 가능