# 스프링 시큐리티: 폼 인증

1.. 스프링 시큐리티 연동

2. 스프링 시큐리티 기본 설정(URL)

3. 스프링 시큐리티 : JPA 연동

4. 스프링 시큐리티 폼 설정

# 스프링 시큐리티 : 아키텍처-1(인증)

1. SecurityContextHolder와 Authentication

• SecurityContextHolder(인증 정보를 담고 있는 곳)
  • SecurityContext
    • Authentication을 제공함.
  • Authentication
    • 인증된 Authentication 객체가 SecurityContextHolder로 들어감.
    • Authentication은 Principal(정보)와 GrantAuthority(권한)를 제공함.
  • UserDetails
    • 애플리케이션(유저정보) ← UserDetails(어댑터 역할) → Authentication(시큐리티 객체)
  • UserDetailsService
    • 유저 정보를 UserDetails 타입으로 가져오는 DAO 인터페이스

2. AuthenticationManager와 Authentication

• 시큐리티에서 인증(Authentication)은 AuthenticationManager가 함.
• 인증 정보는 SecurityContextHolder. 인증 처리는 AuthenticationManager.

3. ThreadLocal

• Java.lang 패지키에서 제공하는 쓰레드 범위 변수. 즉, 쓰레드 수준의 데이터 저장소.
• 같은 쓰레드 내에서만 공유하며 SecurityContextHolder의 기본전략.

4. Authentication과 SecurityContextHolder

• Authentication은 객체를 리턴한다. Principal(User), Credentials, GrantedAuthorities를 리턴함.

• AuthenticationManager를 통해 인증을 마친 ‘Authentication’은 폼 인증을 처리하는 시큐리티 필터인

  ‘UsernamePasswordAuthenticationFilter’은 Authentication 객체를

  ‘SecurityContextHolder’에 넣어주는 역할을 함.

  SecurityContextHolder.getContext().setAuthentication(authentication).

• 다시, 여러 요청에서 Authentication을 공유할 수 있는 공유 필터

  ‘SecurityContextPersistenceFilter’는 HTTP Session에 캐시(기본전략)하에

  ‘SecurityContext’를 공유하며 ‘**SecurityContextRepository’**를

  교체 해 세션을 HTTP Session이 아닌 다른 곳에 저장하는 것도 가능함.