[TIL] 다시 시작해보는 프로젝트 TIL 10일차..

🌞 오늘은 어떤 하루였지..

요즘 엄청 피곤한 하루하루가 되고 있다.. 잠을 충분히 못자고 있어서 좀비처럼 지내고 있는 느낌이다..

그래도 해야될 일정들은 마무리하기 위해서 리뷰CRUD와 Spring Security 공부 및 적용을 했다.

먼저 리뷰 CRUD 기본 틀 잡아놨던 코드에 추가적으로 적용해야 할 조건들과 생각해봐야 할 내용들(배송 완료된 주문인가? 이미 작성된 리뷰가 있는가? 본인이 주문한 건에 대한 리뷰인가? 등등)을 하나씩 적용하면서 좀 더 완벽한 코드로 수정했다. Spring Security에 대해 충분한 공부 시간을 갖기 위해서 빠르게 마무리하고 Security로 넘어갔다.

Security... 뭔가 알아야 될 게 많은 느낌이었다.
구조부터 엄청 복잡해 보였다. 처음 Spring Security를 써보는 거라서 더 그랬던 것 같다..
하지만 두려움보다는 일단 부딪혀보자 라는 마인드를 가지고 여러 블로그와 문서들을 찾아보면서 필요한 내용들을 수집하고 Notion에 하나씩 정리했다. 그러다 보니 적용하기 위해서 꼭 알고 있어야 하는 개념이 뭐가 있는지 감이 조금씩 잡히기 시작했던 것 같다.

Spring Security에 대한 공부를 마치고 나서 직접 JWT만 적용되어 있는 현재 프로젝트에 설정하기 시작했다. 
Security에 필요한 Filter와 Config를 만들고 내용을 채워나갔다. 하지만 JWT에서 이미 한번 실패를 맛봤기 때문에 차분히 하나씩 해결해나갔다. Filter에 들어가야 되는 내용들을 확인하고 느리지만 정확하게 하나씩 채워나갔다. 그래서 그런지 시간은 오래 걸렸지만 빠진 부분 없이 모두 작성할 수 있었다. 막삭 작성하고 나니 JwtFilter에 있는 내용들과 겹치는 부분이 많다고 느껴졌다.

다음으로 SecurityConfig로 넘어와서 내용을 채워나가기 시작했다. SecurityConfig는 뭔가 정해진 틀이 있고 거기서 추가적으로 커스터마이징을 진행하는 느낌이었다.
필수적으로 들어가야 하는 부분들이 존재했고, 나머지는 필요하다면 추가적으로 작성하는 느낌..?

하지만 처음 해보는 거라 그런지 시간이 너무 오래 걸려서 하루만에 다 끝내지 못했고.. 내일 이어서 해야할 것 같다. 

 

💡 새롭게 알게 된 내용은 뭐가 있더라..?!

Spring Security가 뭘까?!

Spring 기반 애플리케이션에서 인증과 인가를 중심으로 보안 기능을 담당하는 프레임워크이다.
로그인 처리, 권한 처리, 세션 제어, CSRF 방지, 비밀번호 암호화 등을 자동으로 제공하고, 필요할 경우 직접 커스터마이징 할 수 있다.

Spring Security의 특징

Filter를 기반으로 동작한다.

• Spring MVC와 분리되어 관리하고 동작할 수 있다.

Bean으로 설정할 수 있다.

Spring Security의 구조

Spring Security의 흐름

1. Http Request 수신

👉 사용자가 로그인 정보와 함께 인증 요청을 한다.

2. 유저 자격을 기반으로 인증 토큰 생성

👉 AuthenticationFilter가 요청을 가로채고, 가로챈 정보를 통해 UsernamePasswordAuthenticationToken의 인증용 객체를 생성한 다.

3. Filter를 통해 AuthenticationToken을 AuthenticationManager로 위임

👉 AuthenticationManager의 구현체인 ProviderManager에게 생성한 UsernamePasswordToken 객체를 전달한다.

4. AuthenticationProvider의 목록으로 인증을 시도

👉 AuthenticationManager는 등록된 AuthenticationProvider들을 조회하며 인증을 요구한다.

5. UserDetailsService의 요구

👉 실제 데이터베이스에서 사용자 인증 정보를 가져오는 UserDetailsService에 사용자 정보를 넘겨준다.

6. UserDetails를 이용해 User 객체에 대한 정보 탐색

👉 넘겨 받은 사용자 정보를 통해 데이터베이스에서 찾아낸 사용자 정보인 UserDetails 객체를 만든다.

7. User 객체의 정보들을 UserDetails가 UserDetailsService(LoginService)로 전달

👉 AuthenticationProvider들은 UserDetails를 넘겨 받고 사용자 정보를 비교한다.

8. 인증 객체 or AuthenticationException

👉 인증이 완료되면 권한 등의 사용자 정보를 담은 Authentication 객체를 반환한다.

9. 인증 끝

👉 다시 최초의 AuthenticationFilter에 Authentication 객체가 반환된다.

10. SecurityContext에 인증 객체를 설정

👉 Authentication 객체를 SecurityContext에 저장한다.

최종적으로 SecurityContextHolder는 세션 영역에 있는 SecurityContext에 Authentication 객체를 저장한다. 사용자 정보를 저장한다는 것은 Spring Security가 전통적인 세션 - 쿠키 기반의 인증 방식을 사용한다는 것을 의미한다.

 

🗓️ 내일은 뭐 하지?!

✔️ Spring Security 마무리
✔️ 동시성 공부
✔️ TIL 작성