SongGwanSeok
commented
2 months ago Spring Cloud 스프링 클라우드는 분산 시스템에서 필요한 다양한 기능들을 추상화하여 제공한다. 마이크로 아키텍처를 구현할 때 유용하게 사용된다.
- Spring Cloud Gateway 스프링 클라우드 게이트웨이는 API 게이트웨이 역할을 합니다. Gateway 자체는 인증과
-
MSA의 출입구 역할을 한다.
-
API 게이트웨이는 클라이언트의 요청을 받아서 애플리케이션으로 전달하고, 애플리케이션의 응답을 클라이언트에게 반환하는 역할을 한다.
-
클라우드와 서비스 사이에 통신을 관리한다.
-
장점
- Spring에서 제공하는 Boot, Security, OAuth2 등 다양한 컴포넌트와 조합하여 효율적인 개발이 가능하다.
- WebFlux 기반의 Non-Blocking을 사용한다. 이는 I/O 작업이 완료되기를 기다리지 않고 다른 작업을 수행할 수 있으며 빠른 응답을 확보할 수 있음을 의미한다.
- yaml 파일로 간단하게 라우팅이 가능하다.
-
단점
- 다른 API 게이트웨이에 비해 기능들이 미숙하다. 특정한 UI 기반의 관리 도구가 필요한 경우, 추가적인 구성을 활용하여 이를 보완해야 한다.
- 모든 요청은 추가적인 오버헤드를 갖게 되어 간단한 요청에 있어서는 비효율적일 수 있다.
- Spring Cloud Security [Spring Cloud] Gateway Security - 적용 스프링 클라우드 시큐리티도 Gateway를 사용한다. 이 블로그는 jwt를 기준으로 설명한다.
동작 과정
- 최초 사용자의 요청에는 JWT가 없기 때문에 gateway에서 JWT를 검증하지 않는다.
- gateway를 지나 User Service에서 로그인 과정을 통해 JWT를 반환한다.
- 이후 사용자는 서버에 API를 호출할 때 헤더에 JWT 정보를 담아서 요청한다.
- 다음부터는 Gateway에서 JWT를 검증하는 과정을 거친다.
- Spring Security
-
장점
- 인증 및 권한 보호 기능을 손쉽게 추가할 수 있다.
- 여러 보안적 처리를 자동적으로 해준다.
-
단점
- Spring Security에 너무 의존적인 프로그래밍을 한다.
- Spring Security 라는 프레임워크를 제대로 이해하지 못하고 사용하는 사례들이 많다.
- 방대한 기능들을 사용하지 않지만 적용하는 경우가 있다.
- 직접 구현
-
프레임워크를 사용하지 않고 코드를 직접 작성할 경우 Spring에서 추구하는 IoC/DI 패턴과 같은 확장 패턴을 염두 해서 인증/인가 부분을 직접 개발하기는 쉽지않다.
-
하지만 공부를 하는 입장에서 직접 개발해보는 경험도 도움이 될 것 같다.
- Spring Cloud Security를 사용하는 이유는? MSA 방식에서 각각의 서비스 앞단에 인가 과정을 넣는 것이 불필요하기 때문
- 우리 서비스가 MSA 방식을 사용하나? No
- 그럼 우리가 Spring Cloud Security를 사용해야 하는 이유가 있는가? No
- Spring Security는 우리에게 필요한가? 인증과 인가를 간단하게 처리해줄 수 있고, 많은 보안처리들을 자동으로 해준다.
- Spring Security를 사용하지 않으면 회원 기능을 구현할 수 없는가? No 할수 있다.
나의 결론 Spring Security를 참고하며 우리에게 필요한 기능들을 적용하고 구현하면 어떨까? 직접 구현하는 것이 힘들다고 생각되면 Spring Security를 사용하는 것도 나쁘지 않을 것 같다. 물론 정확히 알고 사용해야 한다!
📝 Description
무엇을?
왜?
❗️Todo
ETC
기타사항