이번 포스트에서는 Authorization Architecture에 대해 살펴보자.  Authorization Architecture 권한(Authorization)사용자가 인증되면 Authorization 객체가 생성된다. 이 객체는 사용자가 가진 권한을 나타내는 GrantedAuthority 목록을 포함한다.  GrantedAuthority는 사용자(Principal)가 특정 작업을 수행할 수 있는지를 반환하는 역할을 한다.GrantedAuthority 인터페이스의 getAuthority()는 권한을 문자열로 반환한다. 기본적으로 role 기반의 권한 부여 규칙에서는 접두사로 "ROLE_"를 붙인다. 따라서 getAuthority()는 "ROLE_USER", "ROLE_ADMIN" 등의 형태로 권한을..

이번 포스트에서는 Servlet Application에서 Spring Security의 Authentication Architecture에 대해 살펴보자. Authentication Architecture SecurityContextHolderSecurityContextHolder는 인증된 사용자의 정보를 저장하는 보관소이다. 사용자 인증 정보는 SecurityContext가 갖는다.SecurityContextHolder는 ThreadLocal을 이용해서 사용자 인증 정보를 저장한다. 따라서 동일한 요청 스레드 내의 메서드에서 SecurityContext에 자유롭게 접근할 수 있으며 SecurityContext를 메서드의 인자로 명시적으로 전달할 필요가 없다.ThreadLocal은 각 스레드에 대해 독립..

이번 포스트에서는 Servlet Application에서 동작하는 Spring Security의 기본 아키텍쳐에 대해서 살펴보자. Filter Filter와 DelegatingFilterProxyServlet 기반의 Application에서 동작하는 Spring Security는 filter에서부터 시작한다. Filter는 Container가 요청을 접수한 후 어떤한 Servlet 요청을 처리하기 전에 동작하는 웹 컴포넌트이다. 이 filter를 통해서 Servlet에서 필요한 전/후 처리를 모듈화할 수 있다.이 필터는 하나만 존재하는 것은 아니고 목적에 따라 여러가지가 존재한다. 쉽게 생각하면 encoding, logging, session 관리를 위한 필터등을 예로 들수 있다.이 필터들은 따로 따로 ..

이번 포스트에서는 Spring Security의 개요에 대해 알아보자. Spring Security  SpringSecurity?Security란 프로젝트에서 사용자의 인증 처리 및 리소스의 접근 제어에 활용되는 기술로 Spring의 서브 프로젝트 중 하나이다. https://spring.io/projects/spring-security Spring SecuritySpring Security is a powerful and highly customizable authentication and access-control framework. It is the de-facto standard for securing Spring-based applications. Spring Security is a frame..