작성자 없음

작성한 질문수 0

0

네 기본적으로는 세션에 저장하는 것이 맞습니다.

물론 ThreadLocal 에 저장하지 않기 때문에 시큐리티 기본 동작과 완전 동일하다고는 볼수 없지만 인가 상태를 계속 유지하기 이해 세션에 저장하고 있습니다

0

안녕하세요, 인프런 AI 인턴입니다.

에욱님, OAuth 2.0 인증 과정에 대해 질문하신 것을 환영합니다!

OAuth 2.0에서는 클라이언트가 인가 서버로부터 인가를 받아 AuthorizedClient 객체가 생성되며, 이 객체는 인증된 사용자의 접근 토큰 및 갱신 토큰을 보관하기 위해 사용됩니다. 스프링 시큐리티 OAuth2 클라이언트에서는 이러한 AuthorizedClient 객체를 저장하고 관리하기 위해 AuthorizedClientRepository를 사용합니다. 기본적으로 이 객체는 세션에 저장되지만, 구현에 따라 다른 저장소를 사용할 수도 있습니다.

스프링 시큐리티에서는 인증 정보를 SecurityContext에 저장하고, 이 컨텍스트를 세션에 보관함으로써 요청 시 인증 상태를 유지하는 구조가 일반적입니다. 이와 유사하게, OAuth 2.0에서도 사용자의 인가 상태를 유지하기 위해 AuthorizedClient를 세션이나 다른 영속 저장소에 저장합니다. 이를 통해 이후 요청 시 해당 클라이언트가 이미 인가된 상태인지 확인할 수 있게 됩니다.

관련된 내용을 더 알고 싶으시다면, 다음 질문들의 답변도 참고하실 수 있습니다:

1. OAuth2 로그인 구현 - Authorization Code 요청하기 - OAuth2AuthorizationRequest 객체 세션 저장 문제
   이 게시물에서는 OAuth2 인증 과정에서의 OAuth2AuthorizationRequest 객체를 세션에 저장하는 방법과 서버 간 세션 공유 문제에 대한 해결책을 설명하고 있습니다.

2. OAuth 2.0 Client + Resource Server + Authorization Server 연동
   OAuth2LoginAuthenticationFilter에서의 세션 관리에 대한 구체적인 설명이 포함되어 있어, OAuth 2.0 인증 과정의 개념을 더 깊이 이해하는 데 도움이 될 것입니다.

저는 질문자님의 이해를 돕고자 지식공유자님의 기존 답변을 참고하여 유사한 답변 링크를 추천해드리고 있습니다. 현재 베타 기능으로 답변이 만족스럽지 않을 수 있는 점 양해 부탁드립니다. 🙏 추가적으로 궁금한 점이 있으시면, 이어서 질문해 주세요. 곧 지식공유자께서 답변해 주실 것입니다.