04. SecurityContextHolder & Authentication

[iamsungink]

Spring Security의 내부구조

SecurityContextHolder

• SecurityContextHolder는 SecurityContext를 제공하는 static 메소드(getContext)를 지원합니다.

SecurityContext

• SecurityContext는 접근 주체와 인증에 대한 정보를 담고 있는 Context입니다, 즉 Authentication을 담고 있습니다.

Principal

• 유저에 대하당하는 정보입니다. 대부분의 경우 Principal로 UserDetails를 반환합니다.

GrantAuthority

• ROLE_ADMIN, ROLE_USER 등 principal이 가지고 있는 권한을 나타냅니다.
• prefix로 'ROLE_'이 붙습니다.
• 인증 이후에 인가를 할 때 사용합니다.
• 권한은 여러개 일수 있기 때문에 Collection형태로 제공합니다.
• ex> ROLE_DEVELOPER, ROLE_ADMIN

실습

// note: SecurityContextHolder 살펴보기
        SecurityContext securityContext = SecurityContextHolder.getContext();

[iamsungink]

Thread Local

요청 1개에 Thread 1개가 생성됨.

• 요청1개 : Thread 1개
• 이때 ThreadLocal을 사용하면 Thread마다 고유한 공간을 만들수가 있고 그곳에 SecurityContext를 저장할 수 있음
• 요청1개 : Thread 1개 : Security Context 1개

그러나 ThreadLocal만 강제로 사용해야하는 것은 아니며 원하면 SecurityContext 공유 전략을 바꿀수 있음

1. MODE_THREADLOCAL ThreadLocalSecurityContextHolderStrategy를 사용 ThreadLocal을 사용하여 같은 Thread안에서 SecurityContext를 공유
2. MODE_INHERITABLETHREADLOCAL InheritableThreadLocalSecurityContextHolderStrategy를 사용 InheritableThreadLocal을 사용하여 자식 Thread까지도 SecurityContext를 공유
3. MODE_GLOBAL GlobalSecurityContextHolderStrategy 를 사용 Global로 설정되어 애플리케이션 전체에서 SecurityContext를 공유

[iamsungink]

ThreadLocalSecurityContextHolderStrategy

/*
 * Copyright 2004, 2005, 2006 Acegi Technology Pty Limited
 *
 * Licensed under the Apache License, Version 2.0 (the "License");
 * you may not use this file except in compliance with the License.
 * You may obtain a copy of the License at
 *
 *      https://www.apache.org/licenses/LICENSE-2.0
 *
 * Unless required by applicable law or agreed to in writing, software
 * distributed under the License is distributed on an "AS IS" BASIS,
 * WITHOUT WARRANTIES OR CONDITIONS OF ANY KIND, either express or implied.
 * See the License for the specific language governing permissions and
 * limitations under the License.
 */

package org.springframework.security.core.context;

import org.springframework.util.Assert;

/**
 * A <code>ThreadLocal</code>-based implementation of
 * {@link SecurityContextHolderStrategy}.
 *
 * @author Ben Alex
 * @see java.lang.ThreadLocal
 * @see org.springframework.security.core.context.web.SecurityContextPersistenceFilter
 */
final class ThreadLocalSecurityContextHolderStrategy implements SecurityContextHolderStrategy {

    private static final ThreadLocal<SecurityContext> contextHolder = new ThreadLocal<>();

    @Override
    public void clearContext() {
        contextHolder.remove();
    }

    @Override
    public SecurityContext getContext() {
        SecurityContext ctx = contextHolder.get();
        if (ctx == null) {
            ctx = createEmptyContext();
            contextHolder.set(ctx);
        }
        return ctx;
    }

    @Override
    public void setContext(SecurityContext context) {
        Assert.notNull(context, "Only non-null SecurityContext instances are permitted");
        contextHolder.set(context);
    }

    @Override
    public SecurityContext createEmptyContext() {
        return new SecurityContextImpl();
    }

}