스택큐힙리스트

“인증(Authentication)은 ‘누구냐’를 묻고, 인가(Authorization)는 ‘무엇을 할 수 있느냐’를 답한다.”이 문장 하나로 두 개념의 핵심을 잡으면, Spring Security 설계 · 디버깅이 훨씬 쉬워집니다. 오늘은 이 두 축을 깔끔히 구분해 보고, 실제 애플리케이션에서 어떻게 흘러가는지도 살펴봅니다.1. 개념 먼저 정리하기인증: 사용자가 실제로 주장한 신원이 맞는지 증명하는 과정입니다. 로그인, OAuth2 소셜 콜백, API Key 검증 등이 여기 포함됩니다.인가: 이미 인증된 사용자에게 요청 자원에 대한 접근 권한을 부여·거부하는 과정입니다. “관리자만 /admin 접속 가능”, “게시글 작성자는 수정·삭제 가능” 같은 룰이 여기에 해당합니다.2. 실생활 비유로 감 잡기인증..

Spring Security의 DebugFilter는 요청이 들어올 때마다 필터 체인 진행 상황·인증·인가 의사결정 과정을 콘솔에 그대로 보여줍니다. 단 몇 줄 설정이면 “왜 403 Forbidden이 떴을까?”를 로그만 보고 바로 파악할 수 있어요.1. DebugFilter가 하는 일org.springframework.security.web.debug.DebugFilter가 Filter Chain 가장 앞에 삽입되어 요청‧응답 정보를 상세히 남깁니다.세션 생성·Authentication 객체·AccessDecisionManager 처리 결과까지 모두 로깅해 인증 ↔ 인가 경계를 실시간으로 확인할 수 있습니다.주의 : DebugFilter는 민감 정보(헤더·세션 ID)를 그대로 노출하므로 로컬/스테이징 ..

Spring Security의 Filter Chain은 톱니바퀴처럼 맞물려 인증(Authentication) 과 인가(Authorization) 를 순차적으로 처리합니다. 톱니 하나만 빠져도 전체 보안이 흔들리기에, 각 필터가 언제·무엇을·어떻게 수행하는지 이해해야 커스텀 보안 전략을 안전하게 설계할 수 있어요.1. Filter Chain이란?Servlet Filter들의 묶음입니다. DispatcherServlet 앞에서 요청·응답을 가로채 인증 혹은 인가 로직을 실행합니다.Spring Boot 3/Spring Security 6부터는 SecurityFilterChain 빈으로 설정하며, 더 이상 WebSecurityConfigurerAdapter를 사용하지 않습니다.필터는 등록 순서대로 실행되므로, ..

Spring Security와 JWT, OAuth 2.0을 결합해 완전 무상태(Stateless) 보안 아키텍처를 구현하는 방법을 한눈에 정리했습니다. 오늘 따라가면 REST API 백엔드에서도 소셜 로그인 → 회원가입 → JWT 발급 → 만료 → 토큰 재발급 흐름을 손쉽게 완성할 수 있어요.1. 왜 세션 대신 JWT인가?수평 확장성 : 서버 간 세션 공유 필요 X, 로드밸런싱에도 끄떡없음.네이티브·웹·모바일 클라이언트 통합 : 토큰만 전송하면 동일 로직 재사용 가능.2. 핵심 개념 한눈에Access Token : 사용자 정보와 만료 시각(짧게) 포함. HTTP Authorization: Bearer.Refresh Token : 재발급 전용·장수 토큰. DB·Redis에 저장해 탈취 시 강제 로그아웃 가..