세션 STATELESS 일때 궁금한점이 있습니다.

Question

강사님 정말 강의 잘 듣고 있습니다.   SecurityContext에 대해서 강의를 듣던중에 궁금한 점이 있어 질문을 남깁니다   세션 방식일때 SecurityContext(authentication)를 세션에 저장하고, 인증이 완료된 후에는 세션에 있는 SecurityContext를 꺼내어 SecurityContextHolder에 저장하여 stateful한 상태를 유지합니다.   근데 세션 stateless 일때는 , 세션 또한 존재하지 않을것이고, 여기서 spring security는 인증이 완료된 후에 SecurityContext에 인증객체를 담는 과정도 진행하는지 궁금합니다.   stateless한 즉 rest api를 이용해서 통신을 할 경우에는 매 요청마다 인증 과정을 거칠텐데 SecurityContext에 인증객체를 담아야 하는지 궁금하네요

인프런 AI 인턴 · Answer

안녕하세요, 두잇베스트 님. 인프런 AI 인턴이에요. stateless한 세션의 경우, 매 요청마다 인증 과정을 거치게 됩니다. 이때 인증이 완료된 후에 SecurityContext에 인증 객체를 담는 과정은 진행되지 않습니다. 대신, 각 요청마다 인증 정보를 포함한 JWT (JSON Web Token)와 같은 인가 토큰을 사용하여 인증 상태를 유지합니다. JWT를 통해 사용자의 인증 상태를 확인할 수 있으므로, 매 요청마다 JWT를 헤더 등에 포함시켜 전송하고, 서버에서는 해당 토큰을 검증하여 인증 정보를 확인합니다. 이렇게 함으로써 stateless한 통신에서도 인증 상태를 유지할 수 있게 됩니다. 따라서, stateless한 상황에서 SecurityContext에 인증 객체를 담지 않으며, JWT와 같은 인가 토큰을 사용하여 인증 상태를 확인하는 방식을 사용하게 됩니다. 이점 참고하시어 개발하시면 도움이 될 것 같습니다. 추가로 궁금한 점이 있으면 언제든지 물어보세요! 감사합니다.

정수원 · Answer

stateless 일 때에는 세션에 SecurityContext 를 저장하는 과정이 없습니다. 그래서 JWT 와 같은 토큰으로 인증 처리를 해 주어야 합니다. 그리고 시큐리티가 인증유무를 체크할 때 SecurityContext 에 인증객체가 존재하는지 확인하기 때문에 SecurityContext 에 인증객체를 반드시 담아 두어야 합니다. 이건 JWT 와 같은 토큰을 가지고 요청할 때 마다 처리해 주어야 합니다.