Spring Security 인증/인가

스프링 생태계에서 인증과 인가라는 개념을 최대한 쉽고 유연하게 구현할 수 있도록 만들어진 framework

 

로그인, 회원가입을 할때 사용

 

로그인이 일어나고 회원가입하고 리소스를 제한하는 것은 서비스에 있어서 매우 중요한 부분이다.

로그인 없이 아무나 접속해서 익명으로 서비스를 사용하거나

로그인을 했더라도 모든 사용자가 운영자 권한이 있다면 그 서비스는 오래 유지될 수 없다.

이러한 상황을 막기 위해서 리소스를 제한하는 조치를 해야한다.

 

 

 

---

인증 (Authentication)

사용자가 누구인지 확인하는 절차이다. 

ex)로그인

인가 전 프로세스

 

->나의 ID와 패스워드를 서버에 주고 그 응답으로 아무나 해독이 불가능한 key를 받는다.

  그 key를 모든 요청에 포함해서 보낸다

 

ex) 커뮤니티 게시글에서 글을 보는 것은 로그인을 안해도 되지만, 댓글을 작성하려면 로그인이라는 인증절차 거쳐야함

 

 

인가 (Authorization)

인증 이후에 리소스에 대한 권한 통제를 의미한다.

클라이언트가 요청한 작업이 허가된 작업인지 확인하는 절차로

인증을 한 모든 사용자에게 모든 서비스를 제공하지 않고 인증키를 받는 등의 방식을 사용한다.

 

ex) 관리자페이지의 url은 관리자만 접근가능. 이때 접근하는 사용자가 해당 url에 대해서 인가된 회원인지 검사하는 것