정수원의 Spring Security Oauth2 (3) : 시큐리티 인증 인가 흐름

1. DelegatingFilterProxy

사용자의 요청을 처음으로 받는다.

- 스프링 컨테이너에서 FilterChain을 빈으로 등록하고 관리할 수 있도록, DelegatingFilterProxy가 서블릿 컨테이너의 필터 역할을 분리하여 클라이언트 요청을 스프링 빈으로 위임한다

 

2. FilterChainProxy

보안을 위한 여러 필터를 관리하는 필터 체인. 해당 필터 체인에서 필요한 여러가지 필터를 호출해 인증 작업을 수행하기 위한 준비를 한다

- 인증 영역

3. AuthenticationFilter

• Authentication 객체 생성 : 인증을 위한 정보(ex 아이디, 패스워드)를 저장할 수 있는 객체

4.AuthenticationManager : 객체를 파라미터로 받아 내부 인증로직 수행으로 이어지는 인터페이스

-> 내부 인증로직은 AuthentucationProvider가 수행한다

 

5. AuthentucationProvider : Manager에 의해 내부 인증을 위임받은 인터페이스로, 여기에서 여러 인증을 진행한다.

(데이터베이스 호출 등 : userDetailsService, 해당 서비스는 UserDetails 객체를 반환)

• UserDetails : 인증에 필요한 사용자 정보가 담긴 객체
• Authentication : 인증을 위한 객체 및 인증이 완료된 후 자격 증명 등이 추가로 포함된 객체를 통칭

- 인가 영역

인증이 완료된 사용자가 인가가 필요한 특정 영역에 접근 사수행 절차

6. FilterSecurityInterceptor : 인증된 사용자가 해당 URL에 권한이 있는지 검증

 

7. AccessDecisionManager : 인가 작업을 위임받은 인터페이스, 여러 개의 AccessDecisionVoter와 함께, AccessDecisionVoter의 투표를 통해 나온 결과를 다음과 같은 투표 전략에 따라 인가 여부를 반환한다

 

• AffirmativeBased: 하나라도 ACCESS_GRANTED를 반환하면 접근을 허용.
• ConsensusBased: 다수의 ACCESS_GRANTED가 나오면 접근을 허용.
• UnanimousBased: 모든 투표자가 ACCESS_GRANTED를 반환해야 접근을 허용

 

8. AccessDecisionVoter : 투표 수행 및 해당 인터페이스에 어떤 권한을 검증(투표)할 수 있는 지 확인하는 메서드를 가지고 있다

- 예외 발생시

AuthenticationEntryPoint를 통해 401 또는 403 에러를 반환한다

401 : 인증되지 않은 사용자

403 : 인가되지 않은 사용자