SpringSecurity 01 - 개념 이해하기 (1/10)

Spring Security 개념 이해하기

스프링 시큐리티는 웹 애플리케이션의 보안을 담당하는 강력한 프레임워크예요. 보안 설정을 통해 인증(Authentication)과 인가(Authorization) 과정을 쉽게 구현할 수 있도록 돕죠. 예를 들어, 사용자가 로그인할 때 입력하는 아이디와 패스워드는 클라이언트에서 서버로 요청을 보낼 때 필요한 정보인데, 이 과정에서 스프링 시큐리티는 필터를 사용해 요청을 처리해요. 필터는 요청이 서버에 도달하기 전에 사전 작업을 수행하는 역할을 하죠.

필터는 여러 개가 연속적으로 연결되어 필터 체인을 이루고, 이 체인을 통해 요청이 처리돼요. 요청이 필터 체인을 지나고 나면, 최종적으로 디스패치 서블릿으로 전달되죠. 여기서 중요한 점은 필터가 여러 개 존재한다는 것이고, 각 필터는 특정 작업을 수행해요. 예를 들어, 인증 필터는 사용자의 로그인 상태를 확인하고, 권한 필터는 사용자가 요청한 리소스에 접근할 수 있는지를 체크한답니다.

필터와 인터셉터의 차이

필터와 인터셉터는 비슷하게 보일 수 있지만, 그 역할과 위치는 크게 달라요. 필터는 요청이 서버에 도달하기 전에 먼저 처리되는 반면, 인터셉터는 컨트롤러에 도달한 후에 요청을 가로채는 역할을 해요. 필터는 주로 보안, 성능, 로그 기록 등을 위해 사용되며, 요청이 서버의 리소스에 접근하기 전에 미리 검사를 수행하죠.

반면 인터셉터는 주로 요청 처리 과정에서 특정 작업을 수행할 때 유용해요. 예를 들어, 요청이 특정 컨트롤러에 도달하기 전에 추가적인 로직을 실행하거나, 컨트롤러에서 반환된 결과를 가공할 때 사용할 수 있어요. 이렇게 필터와 인터셉터는 각각의 역할을 가지고 있으며, 이 둘을 적절히 활용하면 보다 안전하고 효율적인 웹 애플리케이션을 만들 수 있죠.

인증과 인가의 프로세스

스프링 시큐리티에서 인증과 인가는 각각 다른 개념이지만, 서로 밀접하게 연결되어 있어요. 인증은 사용자의 신원을 확인하는 과정이고, 인가는 인증된 사용자에게 특정 리소스에 대한 접근 권한을 부여하는 과정이에요. 이 두 과정은 보통 로그인 프로세스에서 함께 이루어져요.

사용자가 로그인하면, 스프링 시큐리티는 먼저 사용자의 아이디와 패스워드를 확인해요. 이 과정에서 인증 필터가 작동해 사용자의 정보를 검사하고, 인증이 성공하면 해당 사용자에게 권한을 부여해요. 만약 인증에 실패하면, 사용자는 로그인 페이지로 리다이렉트되죠. 이렇게 인증과 인가가 함께 작동함으로써, 스프링 시큐리티는 애플리케이션을 안전하게 보호하는 역할을 하게 돼요.

또한, 스프링 시큐리티는 JWT(JSON Web Token)와 같은 다양한 인증 방식을 지원해요. JWT를 사용하면 사용자의 인증 정보를 안전하게 전달할 수 있고, 서버의 상태를 유지할 필요 없이 클라이언트 측에서 인증을 처리할 수 있어요. 이러한 방식은 현대 웹 애플리케이션에서 매우 유용하게 사용되고 있답니다.