[TIL] SpringSecurity 기본 설정 공부하며 알게 된 점

2024.11.10 개인적인 정리용 글

 

스프링부트 2.7.18 버전 / Maven

구체적인 공부 내용은 깃허브 개인 리포지토리(oauth1110)에 정리해두었다. 

 

오늘 새로 알게 된 점은

 

1. 스프링 시큐리티 설정파일에 @EnableWebSecurity 어노테이션을 붙여주면

스프링 시큐리티 필터를 스프링 필터 체인에 등록할 수 있다.

 

 

2. 스프링 시큐리티는 패스워드 일치 여부를 확인할 때 인코딩 된 패스워드 기준으로 체크하기 때문에

데이터베이스에 암호화되지 않은 패스워드를 저장할 경우 인증실패한다.

 

 

3. 스프링 시큐리티를 이용하여 로그인 기능을 구현할 경우

 

로그인 성공하면, 스프링 시큐리티는 세션 영역 중 시큐리티 세션 영역에 Authentication 객체를 만들어서 사용자 정보를 저장한다.

(세션 영역 중 정확히는 SecurityContextHolder의 SecurityContext에 저장한다.)

 

이것이 제대로 동작하게 하려면,

UserDetailsService 인터페이스와 UserDetails 인터페이스의 구현체를 만들어서 스프링빈으로 등록해야 한다.

 

(1) UserDetails 인터페이스 구현체를 만들어야 하는 이유

- Authentication 객체는 내부적으로 사용자 정보를 포함하는 UserDetails 객체를 들고 있고,

    이 UserDetails 객체를 가지고 인증을 진행하기 때문이다.

 

(2) UserDetailsService 인터페이스 구현체를 만들어야 하는 이유

- 스프링 시큐리티는 로그인 요청을 받으면 UserDetails 객체를 생성하기 위해서

    UserDetailsService 타입의 빈을 찾아서, 해당 인스턴스의 loadByUsername() 메서드를 호출하기 때문이다.

 

 

 

 

4. @Secured, @PreAuthorize 등의 어노테이션을 사용하면

어노테이션 기반으로 인가 설정을 해줄 수 있다.